公開日:2022/07/05 最終更新日:2022/07/05

JVNVU#92990931
Emerson製DeltaVにおける複数の脆弱性

概要

Emerson社が提供するDeltaVには、複数の脆弱性が存在します。

影響を受けるシステム

  • DeltaV Mシリーズ すべてのバージョン
  • DeltaV Sシリーズ すべてのバージョン
  • DeltaV Pシリーズ すべてのバージョン
  • DeltaV SIS すべてのバージョン
  • DeltaV CIOC/EIOC/WIOC IO cards すべてのバージョン

詳細情報

Emerson社が提供するDeltaVには、次の複数の脆弱性が存在します。

  • 重要な機能に対する認証の欠如 (CWE-306) - CVE-2022-29957
  • ハードコードされた認証情報の使用 (CWE-798) - CVE-2022-29962、CVE-2022-29963、CVE-2022-29964
  • データの信頼性確認が不十分 (CWE-345) - CVE-2022-30260
  • 非推奨暗号アルゴリズムの使用 (CWE-327) - CVE-2022-29965

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 隣接するネットワーク上の第三者によって、認証のない機能を呼び出されたり、サービス拒否(DoS)状態にされる - CVE-2022-29957
  • ローカルのユーザによって、ハードコードされたFTPの資格情報を悪用される - CVE-2022-29962
  • 隣接するネットワーク上の高特権ユーザによって、ハードコードされたTelnetの資格情報を悪用される - CVE-2022-29963
  • ローカルのユーザによって、ハードコードされたSSHの資格情報を悪用される - CVE-2022-29964
  • ローカルの高権限ユーザによって、細工したファームウェアイメージを強要されたり、コードを実行されたり、サービス拒否(DoS)状態にされる - CVE-2022-30260
  • 隣接するネットワーク上の第三者によって、特権操作を実施される - CVE-2022-29965

対策方法

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。

ベンダ情報

ベンダ リンク
Emerson Guardian Support Portal(要ログイン)

参考情報

  1. Forescout Technologies, Inc.
    OT:ICEFALL: 56 Vulnerabilities Caused by Insecure-by-Design Practices in OT
  2. Forescout Technologies, Inc.(PDF)
    OT:ICEFALL
  3. ICS Advisory (ICSA-22-181-03)
    Emerson DeltaV Distributed Control System

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/07/05
[想定される影響]の誤字を修正しました