公開日:2025/02/05 最終更新日:2025/02/05

JVNVU#93849567
ZF製RSSPlusにおける認証回避の脆弱性

概要

ZFが提供するRSSPlusには認証回避の脆弱性が存在します。

影響を受けるシステム

  • RSSPlus 2M build dates 01/08から01/23まで

詳細情報

ZFが提供するRSSPlusには次の脆弱性が存在します。

  • 認証回避(CWE-305)
    • CVE-2024-12054

想定される影響

本脆弱性を悪用された場合、外部からSAE J2497規格に基づくRF信号を送信されることにより、認証処理を経ることなく、修理時に用いられる診断機能を呼び出され、結果としてソフトウェアの削除や機能低下等が引き起こされる可能性があります。

対策方法

ワークアラウンドを実施する
本脆弱性に対する回避策・軽減策は、JVNTA#98136560で言及されている、通信規格SAE J2497の実装機器における対策と共通しています。具体策については当該アドバイザリを参照してください。

ベンダ情報

参考情報

  1. ICS Advisory | ICSA-25-021-03
    ZF Roll Stability Support Plus (RSSPlus)
  2. JVNTA#98136560
    SAE J2497の規格にもとづく電力線通信における複数の脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia