公開日:2020/05/13 最終更新日:2020/05/13

JVNVU#94872807
PI System における複数の脆弱性

概要

OSIsoft, LLC が提供する PI System には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2020-10610, CVE-2020-10608 および CVE-2020-10606

  • PI Asset Framework (AF) Client version PI AF Client 2018 SP3 Patch 1, Version 2.10.7.283 およびそれ以前を利用しているアプリケーション
  • PI Software Development Kit (SDK) version PI SDK 2018 SP1, Version 1.4.7.602 およびそれ以前を利用しているアプリケーション
  • PI API for Windows Integrated Security version 2.0.2.5 およびそれ以前
  • PI API version 1.6.8.26 およびそれ以前
  • PI Buffer Subsystem version 4.8.0.18 およびそれ以前
  • PI Connector for BACnet version 1.2.0.6 およびそれ以前
  • PI Connector for CygNet version 1.4.0.17 およびそれ以前
  • PI Connector for DC Systems RTscada version 1.2.0.42 およびそれ以前
  • PI Connector for Ethernet/IP version 1.1.0.10 およびそれ以前
  • PI Connector for HART-IP version 1.3.0.1 およびそれ以前
  • PI Connector for Ping version 1.0.0.54 およびそれ以前
  • PI Connector for Wonderware Historian version 1.5.0.88 およびそれ以前
  • PI Connector Relay version 2.5.19.0 およびそれ以前
  • PI Data Archive version PI Data Archive 2018 SP3 Version 3.4.430.460 およびそれ以前
  • PI Data Collection Manager version 2.5.19.0 およびそれ以前
  • PI Integrator for Business Analytics version 2018 R2 SP1, Version 2.2.0.183 およびそれ以前
  • PI Interface Configuration Utility (ICU) version 1.5.0.7 およびそれ以前
  • PI to OCS version 1.1.36.0 およびそれ以前
CVE-2020-10604 および CVE-2020-10602
  • PI Data Archive 2018 および 2018 SP2
CVE-2020-10600
  • PI Data Archive 2018 SP2 およびそれ以前
CVE-2019-10768
  • PI Vision 2019 およびそれ以前
  • PI Manual Logger 2017 R2 Patch 1 およびそれ以前
  • RtReports Version 4.1 およびそれ以前
CVE-2020-10600, CVE-2020-10614 および CVE-2019-18244
  • PI Vision 2019 およびそれ以前

詳細情報

OSIsoft, LLC が提供する PI System には、次の複数の脆弱性が存在します。

  • 制御されていない検索パス (CWE-427) - CVE-2020-10610
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
  • 署名暗号化の検証がされない (CWE-347) - CVE-2020-10608
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
  • 不適切な初期設定の権限 (CWE-276) - CVE-2020-10606
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
  • 例外を捕捉できない問題 (CWE-248) - CVE-2020-10604
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • NULL ポインタ参照の脆弱性 (CWE-476) - CVE-2020-10602
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H 基本値: 6.5
  • NULL ポインタ参照の脆弱性 (CWE-476) - CVE-2020-10600
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:H 基本値: 5.9
  • 入力値の検証不備 (CWE-20) - CVE-2019-10768, CVE-2019-11358
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値: 7.5
  • クロスサイトスクリプティング (CWE-79) - CVE-2020-10600
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N 基本値: 6.5
  • クロスサイトスクリプティング (CWE-79) - CVE-2020-10614
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:H 基本値: 6.4
  • ログファイルからの情報漏えい (CWE-532) - CVE-2019-18244
    CVSS v3 CVSS:3.0/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 5.1

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • ローカルの攻撃者によって、Windows system privilege level で、本来権限のない情報の閲覧、削除および変更される - CVE-2020-10610
  • ローカルの攻撃者によって、PI System ライブラリの読み込み時にコンピュータ上の PI System software の他のローカルユーザを権限昇格し、本来権限のない情報の閲覧、削除および変更される - CVE-2020-10608
  • ローカルの攻撃者によって、不正に情報を漏えい、削除および変更する - CVE-2020-10606
  • 遠隔の認証されていない攻撃者によって、PI Data Archive への要求や通信を遮断される - CVE-2020-10604
  • 認証された遠隔の攻撃者によって、PI Data Archive への要求や通信を遮断される - CVE-2020-10602
  • 認証された遠隔の攻撃者によって、 PI Data Archive への要求が遮断される - CVE-2020-10600
  • 認証された遠隔の攻撃者によって、内部のオブジェクトプロパティを変更され、予期せぬ動作をさせられる - CVE-2019-10768, CVE-2019-11358
  • Vision mobile を使用しているユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2020-10600
  • ユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2020-10614
  • ローカルの攻撃者によって、ログファイルの機微な情報を閲覧される - CVE-2019-18244

対策方法

ワークアラウンドを実施する
開発者は次の回避策を推奨しています。
CVE-2020-10610

  • レジストリキー HKLM\Software\PISystem および HKLM\WOW6432Node\Software\PISystem のアクセス許可を管理して、影響の大きいエクスプロイトパスを遮断する
CVE-2019-18244
  • ドメインの Group Managed Service Accounts を作成して使用して PI Vision AppPools を実行する
  • 初期設定の NetworkService アカウントを使用して PI Vision AppPools を実行する
  • 標準のドメインアカウントを使用する場合、セットアップログファイルからパスワードエントリを削除する
CVE-2020-10610, CVE-2020-10608 および CVE-2020-10606
  • 標準ユーザーを PI Vision に移行し、ブラウザーベースで PI System データにアクセスする
CVE-2020-10608
  • PI クライアントワークステーションから信頼できる AF serverへのネットワーク接続 (TCP Port 5457) を制限する
CVE-2020-10606
  • PI Buffer Subsystem および PI Buffer Server で、使用していない PI Buffering サービスを無効にする
CVE-2019-10768, CVE-2020-10600 および CVE-2020-10614
  • PI Vision ディスプレイへの書き込みを、信頼できるユーザのみに制限にする

また次の回避策により、脆弱性の軽減が可能です。
CVE-2020-10610 および CVE-2020-10608 CVE-2020-10604, CVE-2020-10602 および CVE-2020-10600
  • PI System の Windows 認証を十分に構成し、レガシー認証方法を無効にする

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-10610
CVE-2020-10608
CVE-2020-10606
CVE-2020-10604
CVE-2020-10602
CVE-2020-10600
CVE-2019-10768
CVE-2020-10614
CVE-2019-18244
CVE-2019-11358
JVN iPedia