公開日:2021/05/12 最終更新日:2021/07/29

JVNVU#92650134
Delta Electronics 製 DOPSoft に境界外読み取りの脆弱性

概要

Delta Electronics 社が提供する DOPSoft には、境界外読み取りの脆弱性が存在します。

影響を受けるシステム

  • DOPSoft Version 4.0.10.17 およびそれ以前

詳細情報

DOPSoft は、Delta Electronics 社が提供する Human Machine Interface (HMI) の開発ソフトウェアです。DOPSoft には、プロジェクトファイル (DPA ファイル) を読み込む処理を行う際にデータを適切に検証されないことにより、メモリの境界外読み取りが発生する脆弱性が存在します。

  • 境界外読み取り (CWE-125)
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N 基本値: 3.3

    ※ 本脆弱性の影響として、情報漏えいが発生します

  • 境界外読み取り (CWE-125)
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8

    ※ 本脆弱性の影響として、任意のコード実行が発生します

想定される影響

攻撃者によって細工されたプロジェクトファイル (DPA ファイル) を読み込むことにより、機微な情報が漏えいしたり、DOPSoft の実行権限で任意のコードが実行されたりする可能性があります。

対策方法

アップデートする
Delta Electronics 社は、2021年8月31日リリース予定の修正済みのバージョンへのアップデートを推奨しています。

ワークアラウンドを実施する
本脆弱性情報を公開した ZDI は、以下の軽減策を提示しています。

  • DOPSoft に読み込ませるファイルを制限する

ベンダ情報

ベンダ リンク
Delta Electronics Download Center

参考情報

  1. ZDI-21-510 | Zero Day Initiative
    (0Day) Delta Industrial Automation DOPSoft DPA File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability
  2. ZDI-21-511 | Zero Day Initiative
    (0Day) Delta Industrial Automation DOPSoft DPA File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability
  3. ZDI-21-512 | Zero Day Initiative
    (0Day) Delta Industrial Automation DOPSoft DPA File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability
  4. ZDI-21-513 | Zero Day Initiative
    (0Day) Delta Industrial Automation DOPSoft DPA File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability
  5. ZDI-21-514 | Zero Day Initiative
    (0Day) Delta Industrial Automation DOPSoft DPA File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability
  6. ZDI-21-515 | Zero Day Initiative
    (0Day) Delta Industrial Automation DOPSoft DPA File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability
  7. ZDI-21-516 | Zero Day Initiative
    (0Day) Delta Industrial Automation DOPSoft DPA File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability
  8. ZDI-21-517 | Zero Day Initiative
    (0Day) Delta Industrial Automation DOPSoft DPA File Parsing Out-Of-Bounds Read Remote Code Execution Vulnerability
  9. ZDI-21-518 | Zero Day Initiative
    (0Day) Delta Industrial Automation DOPSoft DPA File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability
  10. ZDI-21-519 | Zero Day Initiative
    (0Day) Delta Industrial Automation DOPSoft DPA File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability
  11. ICS Advisory (ICSA-21-182-03)
    Delta Electronics DOPSoft

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2021/07/29
[影響を受けるシステム]、[対策方法]、[ベンダ情報]、[参考情報] を更新しました。