公開日:2021/11/09 最終更新日:2021/11/09

JVNVU#91156086
AzeoTech社製DAQFactoryにおける複数の脆弱性

概要

AzeoTech社が提供するDAQFactoryには、複数の脆弱性が存在します。

影響を受けるシステム

  • DAQFactoryバージョン18.1 Build 2347およびそれ以前

詳細情報

AzeoTech社が提供するDAQFactoryには、次の複数の脆弱性が存在します。

  • 安全な動作が保証されていない機能の使用 (CWE-242) - CVE-2021-42543
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 信頼されていないデータのデシリアライズ (CWE-502) - CVE-2021-42698
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 機密情報の平文送信 (CWE-319) - CVE-2021-42699
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N 基本値: 5.7
  • 不変とされるデータの変更 (CWE-471) - CVE-2021-42701
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N 基本値: 5.0

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 第三者によって細工されたプロジェクトファイルを介して、コードの実行、システムの再起動、システムのシャットダウンが行われる - CVE-2021-42543
  • 第三者によってメモリオブジェクトに保存されたプロジェクトファイルを細工され、メモリを破壊される- CVE-2021-42698
  • ユーザ権限を持つ遠隔の攻撃者によってネットワークトラフィックをキャプチャされ、Cookie情報を取得される - CVE-2021-42699
  • ユーザ権限を持つ攻撃者によって細工されたプロジェクトファイルを介して、クラウド用のアカウントを取得される - CVE-2021-42701

対策方法

2021年11月09日現在、本脆弱性への対策は提供されていません。AzeoTech社は2022年初頭のリリースを目標としています。

ワークアラウンドを実施する

  • 未知または信頼できないソースからのドキュメントは使用しない
  • 管理者レベルのユーザのみが書き込み可能なフォルダに.ctlファイルを保存する
  • 制御不能なドキュメントを読み込む場合はセーフモードで操作する
  • ドキュメントに編集パスワードを設定する
  • DAQconnectに接続する場合はReal Time Web-Connectメニュー項目の使用を避け、スクリプトを利用する

ベンダ情報

参考情報

  1. ICS Advisory (ICSA-21-308-02)
    AzeoTech DAQFactory

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia