公開日:2021/09/24 最終更新日:2021/09/24

JVNVU#93761221
複数のTrane製品におけるコードインジェクションの脆弱性

概要

Trane社が提供する複数の製品には、コードインジェクションの脆弱性が存在します。

影響を受けるシステム

CVE-2021-38448

  • Symbio 700(Odyssey Split Systemsを含む)v1.00.0023より前のすべてのバージョン
  • Symbio 800(IntelliPak Rooftop Air Conditioner、Chiller Models:CenTraVac Simplex、CentraVac Duplex、ACR、RTAF、CMAF、HDWA.RTWF、CGWF、CXWF、CCUFおよびGVAFを含む)v1.00.0007より前のすべてのバージョン
CVE-2021-38450
  • Tracer SC v4.4 SP7より前のすべてのバージョン
  • Tracer SC+ v5.3 SP3より前のすべてのバージョン
  • Tracer Concierge v5.3 SP3より前のすべてのバージョン

詳細情報

Trane社が提供する複数のTraneビルディングオートメーション製品には、次の複数の脆弱性が存在します。

  • コードインジェクション(CWE-94) - CVE-2021-38448
    CVSS v3 CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H 基本値: 7.5
  • コードインジェクション(CWE-94) - CVE-2021-38450
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H 基本値: 9.9

想定される影響

遠隔の第三者によって、細工したコードを実行された場合、当該ソフトウェアのコントローラーフローを変更される可能性があります。

対策方法

アップデートする
Trane社の担当部門に連絡し、以下の対策済みファームウェアにアップデートしてください。Trane社への連絡についてはTraneサービスデータベース番号「HUB-205962」を参照してください。

  • CVE-2021-38448
    • Symbio 700 controllers:v1.00.0023および以降のバージョン
    • Symbio 800 controllers:v1.00.0007および以降のバージョン
  • CVE-2021-38450
    • Tracer SC:v4.4 SP7および以降のバージョン
      Trane社によるとTracer SCは2022年12月31日に保守終了となるため、Tracer SC+への移行を推奨とのことです。
    • Tracer SC+:v5.5 SP3および以降のバージョン
    • Tracer Concierge:v5.5 SP3および以降のバージョン
Trane社は、上記アップデートをするとともに、以下の対策の実施を推奨しています。
  • コントローラへの物理的なアクセスは、訓練を受けた信頼できる担当者だけに制限する
  • 遠隔操作が必要な場合は、Trane Connect Remote Accessなどの安全なリモートアクセスソリューションを使用する
  • 強力なパスワードなどのベストプラクティスに従った資格情報を設定し、ユーザ本人以外に共有されていないことを確認する
  • 仮想ローカルエリアネットワーク(VLAN)を使用し、当該製品を他のネットワークデバイスから分離し、ファイアウォールを使用しインターネットなど外部からの通信から保護する
  • 定期的なソフトウェア/ファームウェアの更新プロセスを文書化し、責任者を定め、システムを最新状態に維持する

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia