JVNVU#92639220
STARDOM コントローラに複数の脆弱性

横河電機株式会社が提供する STARDOM コントローラには、複数の脆弱性が存在します。

CVE-2018-10592

• STARDOM FCJ R4.02 およびそれ以前
• STARDOM FCN-100 R4.02 およびそれ以前
• STARDOM FCN-RTU R4.02 およびそれ以前
• STARDOM FCN-500 R4.02 およびそれ以前

• STARDOM FCN-500 R4.10 およびそれ以前
• STARDOM FCN-RTU R4.10 およびそれ以前
• STARDOM FCN-100, FCJ R4.10 およびそれ以前

横河電機株式会社が提供する STARDOM は、中小規模工場向け PLC 計装システムです。STARDOM コントローラには、次の複数の脆弱性が存在します。

• アカウント ID およびパスワード情報がハードコードされている問題 (CWE-798) - CVE-2018-10592

  CVSS v3	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H	基本値: 8.1
  CVSS v2	AV:N/AC:M/Au:N/C:C/I:C/A:C	基本値: 9.3

• 情報漏えい (CWE-200) - CVE-2018-17900

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L	基本値: 9.4
  CVSS v2	AV:N/AC:L/AU:N/C:P/I:P/A:P	基本値: 7.5

• リモート管理機能に対するサービス運用妨害 (DoS) (CWE-119) - CVE-2018-17902

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L	基本値: 5.3
  CVSS v2	AV:N/AC:L/AU:N/C:N/I:N/A:P	基本値: 5.0

• メンテナンス機能の認証情報がハードコードされている問題 (CWE-798) - CVE-2018-17896

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L	基本値: 8.3
  CVSS v2	AV:N/AC:L/AU:N/C:P/I:P/A:P	基本値: 7.5

• コントローラの HTTP サービスに対するサービス運用妨害 (DoS) (CWE-119) - CVE-2018-17898

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L	基本値: 5.3
  CVSS v2	AV:N/AC:L/AU:N/C:N/I:N/A:P	基本値: 5.0

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、コントローラにログインされ、任意のコマンドを実行される - CVE-2018-10592
• 遠隔の第三者によって、コントローラのリモート管理機能へアクセスするための認証情報を取得される - CVE-2018-17900
• 遠隔の第三者によって、コントローラのリモート管理機能に対するサービス運用妨害 (DoS) 攻撃が行われる - CVE-2018-17902
• 遠隔の第三者によって、コントローラのメンテナンス機能にログインされ、情報を取得、改ざんされる - CVE-2018-17896
• 遠隔の第三者によって、コントローラの HTTP サービスに対するサービス運用妨害 (DoS) 攻撃が行われる - CVE-2018-17898

アップデートする - CVE-2018-10592
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を STARDOM FCN/FCJ R4.10 で修正しています。

詳しくは開発者が提供する情報をご覧ください。

ソフトウエアのアップデート、アクセス制限およびネットワーク構成の再検討 - CVE-2018-17900, CVE-2018-17902, CVE-2018-17896, CVE-2018-17898
当該製品で使用されている FCN/FCJ 基本ソフトウエアを R4.20 以降にアップデートするとともに、当該製品との通信は信頼できる相手のみに制限してください。さらに通信内容を第三者に傍受されないようネットワーク構成を見直してください。詳しくは、製品開発者が提供する情報をご覧ください。