公開日:2021/12/13 最終更新日:2022/04/28

JVNVU#93757182
FANUC製ロボットコントローラにおける複数の脆弱性

概要

ファナック株式会社が提供するロボットコントローラには複数の脆弱性が存在します。

影響を受けるシステム

  • R-30iA、R-30iA Mateシリーズ v7.20、v7.30、v7.40、v7.43、v7.50、v7.63、v7.70
  • R-30iB、R-30iB Mateシリーズ v8.10、v8.13、v8.20、v8.23、v8.26、v8.30、v8.33、v8.36
  • R-30iB Plus、R-30iB Mate Plus、R-30iB Compact Plus、R-30iB Mini Plusシリーズ v9.10、v9.13、v9.16、v9.30、v9.36、v9.40

詳細情報

ファナック株式会社が提供するロボットコントローラには次の複数の脆弱性が存在します。

  • 整数値の強制による実装上の誤り (CWE-192) - CVE-2021-32996
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:H 基本値: 7.4
  • 境界外書き込み (CWE-787) - CVE-2021-32998
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:H 基本値: 7.4

想定される影響

想定される影響は各脆弱性により異なりますが、遠隔の第三者によって、次のような影響を受ける可能性があります。

  • 機器がクラッシュさせられる(復旧には機器の再起動を要する) - CVE-2021-32996
  • 任意のコードを実行される(復旧にはバックアップからのINIT STARTまたはrestoreを要する) - CVE-2021-32998

対策方法

ワークアラウンドを実施する
開発者は、脆弱性に対する影響を軽減するために以下のワークアラウンドを推奨しています。

  • FANUC Server Access Control (FSAC)機能を利用して、IPアドレスに基づくFANUC webサーバへのアクセス制御を実施する
  • アクセスレベルに基づいて不要なポートを閉じ、利用可能なネットワークプロトコルを制限する

参考情報

  1. ICS Advisory (ICSA-21-243-02)
    FANUC Robot Controllers

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2021/12/17
[概要]、[影響を受けるシステム]、[ベンダ情報]を更新しました
2022/04/28
[ベンダ情報]を更新しました