公開日:2023/08/23 最終更新日:2023/08/23

JVNVU#93129111
Trane製サーモスタットにおけるインジェクションの脆弱性

概要

Traneが提供する複数のサーモスタットには、インジェクションの脆弱性が存在します。

影響を受けるシステム

  • Trane Technologies XL824 Thermostat ファームウェアバージョン 5.9.8およびそれ以前
  • ​Trane Technologies XL850 Thermostat ファームウェアバージョン 5.9.8およびそれ以前
  • ​Trane Technologies XL1050 Thermostat ファームウェアバージョン 5.9.8およびそれ以前
  • ​Trane Technologies Pivot Thermostat ファームウェアバージョン 1.8およびそれ以前

詳細情報

Traneが提供する複数のサーモスタットには、次の脆弱性が存在します。

  • インジェクション (CWE-74) - CVE-2023-4212

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 当該機器でUSBスティックを利用可能な第三者が細工したファイル名を使うことによって、root権限で任意のコマンドを実行される

対策方法

パッチを適用する
開発者は、パッチを提供しています。当該機器がインターネットに接続されるとファームウェアバージョンが確認され、新しいファームウェアが利用可能な場合、自動でダウンロードとインストールが行われるとのことです。

詳細は、開発者およびICS Advisoryが提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Trane service database article(要ログイン)
Locate Your Local Commercial Trane Office

参考情報

  1. ICS Advisory | ​​ICSA-23-234-02
    ​Trane Thermostats

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia