公開日:2020/05/27 最終更新日:2020/07/01

JVNVU#91608150
Inductive Automation 製 Ignition に複数の脆弱性

概要

Inductive Automation が提供する Ignition には複数の脆弱性が存在します。

影響を受けるシステム

  • Inductive Automation Ignition 8.0.10 より前のバージョン
  • Inductive Automation Ignition 7.9.14 より前のバージョン

詳細情報

Ignition は、Inductive Automation が提供する産業用ソフトウエアです。Ignition には、次の複数の脆弱性が存在します。

  • 重要な機能に対する認証の欠如 (CWE-306) - CVE-2020-12004, CVE-2020-14479
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 5.3
  • 信頼できないデータのデシリアライズ (CWE-502) - CVE-2020-10644, CVE-2020-12000
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • サーバへのクエリを要求する際に認証が行われないため、遠隔の第三者によって機密情報を窃取される - CVE-2020-12004, CVE-2020-14479
  • シリアライズされたデータの検証に不備があるため、遠隔の第三者によって提供された信頼できないデータがデシリアライズされ、システム権限で任意のコードを実行される - CVE-2020-10644, CVE-2020-12000

対策方法

アップデートする - CVE-2020-12004, CVE-2020-10644, CVE-2020-12000
開発者が提供する情報をもとに、最新版にアップデートしてください。

ワークアラウンドを実施する - CVE-2020-14479
開発者は次のワークアラウンドの適用を推奨しています。
  • ファイアウォール等で、サービスとの通信を信頼できる機器に限定する

ベンダ情報

ベンダ リンク
Inductive Automation Ignition Release Notes (version 8.0.10)
Ignition Release Notes (version 7.9.14)

参考情報

  1. ICS Advisory (ICSA-20-147-01)
    Inductive Automation Ignition

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-12004
CVE-2020-10644
CVE-2020-12000
CVE-2020-14479
JVN iPedia

更新履歴

2020/06/03
[影響を受けるシステム] を更新しました。
2020/07/01
[詳細情報] 、[想定される影響]、[対策方法]、[関連文書]に CVE-2020-14479 を追記しました。