公開日:2024/08/05 最終更新日:2024/08/05

JVNVU#96484355
複数のJohnson Controls製品における複数の脆弱性

概要

Johnson Controlsが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2024-32758

  • exacqVision client 24.06より前のバージョン
  • exacqVision server 24.06より前のバージョン
CVE-2024-32862、CVE-2024-32863、CVE-2024-32864、CVE-2024-32931
  • exacqVision Web Service 24.03およびそれ以前のバージョン
CVE-2024-32865
  • exacqVision Server 24.03およびそれ以前のバージョン

詳細情報

Johnson Controlsが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 不十分な暗号強度(CWE-326)-CVE-2024-32758
  • 信頼できないドメインを含むクロスドメインポリシーの使用(CWE-942)-CVE-2024-32862
  • クロスサイトリクエストフォージェリ(CWE-352)-CVE-2024-32863
  • 重要な情報の平文送信(CWE-319)-CVE-2024-32864
  • 不適切な証明書検証(CWE-295)-CVE-2024-32865
  • GETリクエストにおける機微なクエリー文字列の使用(CWE-598)-CVE-2024-32931

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • exacqVision serverとexacqVision client間の通信を復号される(CVE-2024-32758)
  • 信頼されていないドメインから不正なリクエストを送信されたり、データにアクセスされたりする(CVE-2024-32862)
  • 管理者権限で状態変更操作を実行される(CVE-2024-32863)
  • 中間者攻撃 (man-in-the-middle attack) によって、機微な情報にアクセスされる(CVE-2024-32864)
  • 中間者攻撃 (man-in-the-middle attack) によって、通信を盗聴される(CVE-2024-32865)
  • 機微な情報を窃取される(CVE-2024-32931)

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Johnson Controls Security Advisories
Resources

参考情報

  1. ICS Advisory | ICSA-24-214-01
    Johnson Controls exacqVision Client and exacqVision Server
  2. ICS Advisory | ICSA-24-214-02
    Johnson Controls exacqVision Web Service
  3. ICS Advisory | ICSA-24-214-03
    Johnson Controls exacqVision Web Service
  4. ICS Advisory | ICSA-24-214-04
    Johnson Controls exacqVision Web Service
  5. ICS Advisory | ICSA-24-214-05
    Johnson Controls exacqVision Server
  6. ICS Advisory | ICSA-24-214-06
    Johnson Controls exacqVision Web Service

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia