公開日:2008/01/28 最終更新日:2008/02/21

JVNVU#339345
GE Fanuc Proficy Information Portal が任意のファイルをアップロードおよび実行を許可する問題

概要

GE Fanuc Proficy Information Portal は、認証済みユーザに任意のファイルのアップロードを許可します。攻撃者は、実行可能なサーバーサイドスクリプト(例: Windows Internet Information Server の ASP shell 等)をアップロードしたり、ウェブサーバの実行権限で任意のコマンドを実行する可能性があります。

影響を受けるシステム

  • E Fanuc Proficy Information Portal v2.6 およびそれ以前

詳細情報

GE Fanuc Proficy Information Portal は、生産情報システムと企業間ネットワークをつなぎ、オンラインで生産情報などのデータを統合的に扱うウェブベースのシステム状況報告システムです。この Proficy Information Portal には "Add WebSource" 機能が提供されており、ログイン可能な利用者は、サーバに様々なファイルをアップロードし、実行させる事が可能です。

想定される影響

実行可能なファイル(例:ASP シェル)をウェブブラウザからアップロードする事によって、ログインした攻撃者は任意のコードを実行する可能性があります。この行為によって、攻撃者は脆弱性のある生産情報システムにアクセスする可能性があります。

対策方法

パッチを適用する
GE Funac は Software Improvement Module(SIM) for PROFICY 2.6 を 2008/2/15 に提供予定です。詳しくは、GE Fanuc knowledge base (KB12460) をご確認ください。

アップデートする
Proficy Information Portal v2.6 より前のバージョンをお使いの場合、Proficy Information Portal v2.6 およびそれ以降にアップデートして、上記のパッチを適用してください。詳しくは、GE Fanuc knowledge base (KB12460) をご確認ください。

アクセス制限をする
信頼出来ないネットワークからの Proficy Information Portal への通信を制限してください。

URL をフィルターする
reverse HTTP proxy、 ウェブサーバの URL フィルタリング機能、あるいは同様の手法を使う事で、ファイルの名前や拡張子で Proficy Information Portal にアップロード出来るファイルを制限してください。

ベンダ情報

ベンダ リンク
Securing Your HMI/SCADA Systems

参考情報

  1. US-CERT Vulnerability Note VU#339345
    GE Fanuc Proficy Information Portal allows arbitrary file upload and execution

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2008-0175
JVN iPedia JVNDB-2008-001055

更新履歴

2008/02/21
関連文書に JVN iPedia へのリンクを追加しました。