公開日:2025/03/26 最終更新日:2025/03/26

JVNVU#94505127
複数のRockwell Automation製品における複数の脆弱性

概要

Rockwell Automationが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-1449

  • Verve Asset Manager バージョン1.39 およびそれ以前
CVE-2020-27212
  • 440G TLS-Z バージョン v6.001

詳細情報

Rockwell Automationが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 指定されたタイプの入力に対する不適切な検証(CWE-1287)
    • CVE-2025-1449
  • インジェクション(CWE-74)
    • CVE-2020-27212

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 管理者権限を持つ攻撃者によって、サービスを実行しているコンテナのコンテキストで任意のコマンドを実行される(CVE-2025-1449)
  • 攻撃者によって、JTAGインターフェースへのアクセスを制御する保護機能を無効にされ、当該デバイスを乗っ取られる(CVE-2020-27212)

対策方法

CVE-2025-1449
アップデートする
開発者は、本脆弱性に対応したVerve Asset Manager V1.40を提供しています。

CVE-2020-27212
ワークアラウンドを実施する
開発者は、緩和策の適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Rockwell Automation SD1723 | Admin Shell Access Vulnerability in Verve Asset Manager
SD1725 | Third-party Local Code Execution Vulnerability in 440G TLS-Z

参考情報

  1. ICS Advisory | ICSA-25-084-02
    Rockwell Automation Verve Asset Manager
  2. ICS Advisory | ICSA-25-084-03
    Rockwell Automation 440G TLS-Z

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia