公開日:2021/03/17 最終更新日:2021/03/17
JVNVU#91550327
GE 製 UR family における複数の脆弱性
General Electric が提供する UR family には、複数の脆弱性が存在します。
- 次のバージョンで動作する UR family (B30, B90, C30, C60, C70, C95, D30, D60, F35, F60, G30, G60, L30, L60, L90, M60, N60, T35, T60)
- ファームウェアバージョン 8.10 より前のバージョン
- ブートローダーバージョン 7.03/7.04 より前のバージョン
General Electric が提供する UR family には、次の複数の脆弱性が存在します。
- 不適切な暗号強度 (CWE-326) - CVE-2016-2183、CVE-2013-2566
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5 - セッションID固定 (CWE-384) - CVE-1999-1085
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N 基本値: 5.3 - 情報漏えい (CWE-200) - CVE-2021-27422
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5 - 不適切な入力確認 (CWE-20) - CVE-2021-27418
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N 基本値: 5.3 - 不適切な入力確認 (CWE-20) - CVE-2021-27420
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値: 5.3 - 危険なタイプのファイルの無制限アップロード (CWE-434) - CVE-2021-27428
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5 - 安全でない値へのデフォルトの変数初期化 (CWE-453) - CVE-2021-27426
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8 - 情報漏えい (CWE-200) - CVE-2021-27424
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 5.3 - ハードコードされた認証情報の使用 (CWE-798) - CVE-2021-27430
CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.4
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 遠隔の第三者によって、暗号化した通信内容を復号化される - CVE-2016-2183、CVE-2013-2566
- 遠隔の第三者によって、SSH クライアントとサーバー間のストリームに任意のデータを挿入される - CVE-1999-1085
- 遠隔の第三者によって、認証情報不要で機微な情報を窃取される - CVE-2021-27422
- 当該製品の Web インターフェースを使用するユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2021-27418
- 遠隔の第三者によって、Web サーバがサービス運用妨害 (DoS) 状態にされる - CVE-2021-27420
- 遠隔の第三者によって、ファームウェアを不正にアップデートされる - CVE-2021-27428
- ベンダーが IED を保守時に使用される「ファクトリモード」を無効化することができない - CVE-2021-27426
- 遠隔の第三者によって、機微な情報を窃取される - CVE-2021-27424
- UR IED に物理的にアクセス可能な第三者によって、UR 再起動中に起動シーケンスを中断される - CVE-2021-27430
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
本脆弱性を修正したファームウエアバージョン 8.10 がリリースされています。
ベンダ | リンク |
General Electric | GES-2021-004(要ログイン) |
-
ICS Advisory (ICSA-21-075-02)
GE UR family
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-1999-1085 |
CVE-2021-27418 |
|
CVE-2021-27420 |
|
CVE-2021-27422 |
|
CVE-2021-27424 |
|
CVE-2021-27426 |
|
CVE-2021-27428 |
|
CVE-2021-27430 |
|
CVE-2013-2566 |
|
CVE-2016-2183 |
|
JVN iPedia |
|
- 2021/03/17
- [関連文書] CVEのリンク不備を修正しました