公開日:2023/01/27 最終更新日:2023/01/27

JVNVU#93901424
GoAhead Webサーバを使用するRockwell Automation製品における複数の脆弱性

概要

GoAhead Webサーバを使用するRockwell Automation製品には、次の複数の脆弱性が存在します。

影響を受けるシステム

CVE-2019-5096、CVE-2019-5097

  • 1732E-8CFGM8R/A ファームウェアバージョン 1.012
  • 1732E-IF4M12R/A (販売終了) ファームウェアバージョン 1.012
  • 1732E-IR4IM12R/A ファームウェアバージョン 1.012
  • 1732E-IT4IM12R/A ファームウェアバージョン 1.012
  • 1732E-OF4M12R/A ファームウェアバージョン 1.012
  • 1732E-OB8M8SR/A ファームウェアバージョン 1.013
  • 1732E-IB8M8SOER ファームウェアバージョン 1.012
  • 1732E-8IOLM12R ファームウェアバージョン 2.011
  • 1747-AENTR ファームウェアバージョン 2.002
  • 1769-AENTR ファームウェアバージョン 1.001
  • 5069-AEN2TR ファームウェアバージョン 3.011
  • 1756-EN2TR/C ファームウェアバージョン 11.001およびそれ以前
  • 1756-EN2T/D ファームウェアバージョン 11.001およびそれ以前
  • 1756-EN2TSC/B (販売終了) ファームウェアバージョン 10.01
  • 1756-EN2TSC/B ファームウェアバージョン 10.01
  • 1756-HIST1G/A (販売終了) ファームウェアバージョン 3.054およびそれ以前
  • 1756-HIST2G/A (販売終了) ファームウェアバージョン 3.054およびそれ以前
  • 1756-HIST2G/B ファームウェアバージョン 5.103およびそれ以前
CVE-2019-5097
  • ControlLogix 5580 controllers ファームウェアバージョン V28からV32まで
  • GuardLogix 5580 controllers ファームウェアバージョン V31からV32まで
  • CompactLogix 5380 controllers ファームウェアバージョン V28からV32まで
  • Compact GuardLogix 5380 controllers ファームウェアバージョン V31からV32まで
  • CompactLogix 5480 controllers ファームウェアバージョン V32
  • 1756-EN2T/D ファームウェアバージョン 11.001
  • 1756-EN2TR/C ファームウェアバージョン 11.001
  • 1765-EN3TR/B ファームウェアバージョン 11.001
  • 1756-EN2F/C ファームウェアバージョン 11.001
  • 1756-EN2TP/A ファームウェアバージョン 11.001

詳細情報

GoAheadはEmbedthisが提供する組み込み型Webサーバです。GoAhead Webサーバを使用するRockwell Automation製品には、次の複数の脆弱性が存在します。

  • 無限ループ (CWE-835) - CVE-2019-5097
  • 解放済みメモリの使用 (CWE-416) - CVE-2019-5096

想定される影響

脆弱性を悪用された場合、遠隔の第三者によって、次のような影響を受ける可能性があります。

  • 細工されたHTTPリクエストを送信され、当該製品をサービス運用妨害(DoS)状態にされる - CVE-2019-5097
  • 細工されたHTTPリクエストを送信され、任意のコードを実行される - CVE-2019-5096

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Rockwell Automation Literature Library | Rockwell Automation
Embedthis Software Embedded Web Server - GoAhead | IoT Device Management

参考情報

  1. ICS Advisory (ICSA-23-026-06)
    Rockwell Automation products using GoAhead Web Server

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia