公開日:2023/03/24 最終更新日:2023/03/24

JVNVU#94559502
Schneider Electric製IGSSにおける複数の脆弱性

概要

Schneider Electricが提供するIGSSには、複数の脆弱性が存在します。

影響を受けるシステム

  • IGSS Data Server (IGSSdataServer.exe) V16.0.0.23040およびそれ以前
  • IGSS Dashboard (DashBoard.exe) V16.0.0.23040およびそれ以前
  • Custom Reports (RMS16.dll) V16.0.0.23040およびそれ以前

詳細情報

Schneider Electricが提供するIGSSには、次の複数の脆弱性が存在します。

  • 重要な機能に対する認証の欠如 (CWE-306) - CVE-2023-27980、CVE-2023-27983
  • データの信頼性確認が不十分 (CWE-345) - CVE-2023-27977、CVE-2023-27979、CVE-2023-27982
  • 信頼できないデータのデシリアライゼーション (CWE-502) - CVE-2023-27978
  • ディレクトリトラバーサル (CWE-22) - CVE-2023-27981
  • 不適切な入力検証 (CWE-20) - CVE-2023-27984

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって細工されたファイルをユーザが開くと、任意のコードが実行される - CVE-2023-27980、CVE-2023-27982
  • ローカルの第三者によって細工されたファイルをユーザが開くと、任意のコードが実行される - CVE-2023-27978、CVE-2023-27981、CVE-2023-27984
  • 遠隔の第三者によって細工されたメッセージを送信され、当該製品ディレクトリのファイルが削除される - CVE-2023-27977
  • 遠隔の第三者によって細工されたメッセージを送信され、当該製品ディレクトリのファイル名を変更され、サービス運用妨害(DoS)状態にされる - CVE-2023-27979
  • 遠隔の第三者によって、当該製品ディレクトリのレポートファイルが削除される - CVE-2023-27983

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Schneider Electric Schneider Electric Security Notification(PDF)
Security Guideline(PDF)
Recommended Cybersecurity Best Practices

参考情報

  1. ICS Advisory | ICSA-23-082-04
    Schneider Electric IGSS

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia