公開日:2022/10/05 最終更新日:2022/10/05

JVNVU#95045179
Johnson Controls製Metasys ADXにおける不適切な認証の脆弱性

概要

Johnson Controls社が提供するMetasys ADXには、不適切な認証の脆弱性が存在します。

影響を受けるシステム

Metasysの拡張機能であるMVEソフトウェアを動作させている次の製品が本脆弱性の影響を受けます。

  • Metasys ADX Server version 12.0

詳細情報

Johnson Controls社が提供するMetasys ADXには、不適切な認証の脆弱性が存在します。

  • 不適切な認証 (CWE-287) - CVE-2022-21936

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • Active Directory ユーザによって、有効なパスワードの入力なしで正当なアクションを実行される

対策方法

パッチを適用する
開発者は、パッチを提供しています。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Johnson Controls JCI-PSA-2022-11(PDF)

参考情報

  1. ICS Advisory (ICSA-22-277-01)
    Johnson Controls Metasys ADX Server

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia