公開日:2023/07/28 最終更新日:2023/07/28

JVNVU#91608490
PTC製KEPServerEXおよびThingWorx Kepware Serverにおける無制限なリソース消費の脆弱性

概要

PTCが提供するKEPServerEXおよびThingWorx Kepware Serverには、無制限なリソース消費の脆弱性が存在します。

影響を受けるシステム

  • KEPServerEX バージョン 6.0.2107.0から6.14
  • ThingWorx Kepware Server バージョン 8.0から6.14

詳細情報

PTCが提供するKEPServerEXおよびThingWorx Kepware Serverには、次の脆弱性が存在します。

  • 無制限なリソース消費 (CWE-400) - CVE-2023-3825

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、悪意のあるメッセージが送信され、サービス運用妨害 (DoS) 攻撃を受ける

対策方法

ワークアラウンドを実施する
開発者によると、「Secure Deploymentガイド」に示す標準的な制御を行うことで、本脆弱性の対策ができるとのことです。

また、本脆弱性の修正プログラムは、2023年後半にリリース予定とのことです。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
PTC Security vulnerability identified in PTC Kepware Products - CVE-2023-3825
Guide Secure Kepware Server Deployment(PDF)

参考情報

  1. ICS Advisory | ICSA-23-208-02
    PTC KEPServerEX

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia