JVNVU#99979220: Schneider Electric 製 Interactive Graphical SCADA System (IGSS) に複数の脆弱性

Schneider Electric 社が提供する Interactive Graphical SCADA System (IGSS) には、複数の脆弱性が存在します。

IGSS Definition (Def.exe) Version 14.0.0.20247 およびそれ以前

Interactive Graphical SCADA System (IGSS) は、Schneider Electric 社が提供する、制御システムの監視制御用ソフトウェアです。
Interactive Graphical SCADA System (IGSS) には、次の複数の脆弱性が存在します。

バッファエラー (CWE-119) - CVE-2020-7550、CVE-2020-7551、CVE-2020-7552、CVE-2020-7554

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
境界外書き込み (CWE-787) - CVE-2020-7553、CVE-2020-7555、CVE-2020-7556、CVE-2020-7558

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
境界外読み込み (CWE-125) - CVE-2020-7557

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8

細工された CGF (Configuration Group File) ファイルを IGSS Definition にインポートした場合、任意のコードが実行される可能性があります。

アップデートする

開発者が提供する情報をもとに、対策版にアップデートしてください。

今回の脆弱性に対処したバージョンがリリースされています。

IGSS Version 14.0.0.20248
IGSS Version 15.0

ワークアラウンドを実施する

信頼されていない CGF ファイルのインポートを避ける

ベンダ	リンク
Schneider Electric	IGSS Version 14.0.0.20248 (ZIPファイル)
	Security Notification - Interactive Graphical SCADA System (IGSS)
	IGSS Licensed Versions

ICS Advisory (ICSA-20-324-04)
Schneider Electric Interactive Graphical SCADA System (IGSS)

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE	CVE-2020-7550
	CVE-2020-7551
	CVE-2020-7552
	CVE-2020-7553
	CVE-2020-7554
	CVE-2020-7555
	CVE-2020-7556
	CVE-2020-7557
	CVE-2020-7558
JVN iPedia

JVNVU#99979220 Schneider Electric 製 Interactive Graphical SCADA System (IGSS) に複数の脆弱性

JVNVU#99979220
Schneider Electric 製 Interactive Graphical SCADA System (IGSS) に複数の脆弱性