公開日:2022/12/02 最終更新日:2022/12/02

JVNVU#93417785
Horner Automation製Remote Compact Controller 972における複数の脆弱性

概要

Horner Automation社が提供するRemote Compact Controller (RCC) 972には、複数の脆弱性が存在します。

影響を受けるシステム

  • Remote Compact Controller (RCC) 972 Firmware Version 15.40

詳細情報

Horner Automation社が提供するRemote Compact Controller (RCC) 972には、次の複数の脆弱性が存在します。

  • 不十分な暗号強度 (CWE-326) - CVE-2022-2640
  • ハードコードされた暗号鍵の使用 (CWE-321) - CVE-2022-2641
  • グローバル変数への過度の依存 (CWE-1108) - CVE-2022-2642

想定される影響

脆弱性を悪用された場合、遠隔の第三者によって次のような影響を受ける可能性があります。

  • FTPやHTTP等の通信で使用される認証情報を窃取される - CVE-2022-2640
  • 当該機器で任意のコードを実行されたり、サービス運用妨害(DoS)攻撃を受けたりする - CVE-2022-2641
  • 当該機器から機密性の高い値や変数キーを読み取られる - CVE-2022-2642

対策方法

アップデートする
開発者は本脆弱性を修正した Firmware Version 15.60 を提供しています。当該機器のファームウェアを最新バージョンへアップデートしてください。
詳細は開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Horner Automation Controller Firmware

参考情報

  1. ICS Advisory (ICSA-22-335-02)
    Horner Automation Remote Compact Controller

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia