JVNVU#96801438
Emerson製Proficy Machine Editionにおける複数の脆弱性

Emersonが提供するProficy Machine Editionには、複数の脆弱性が存在します。

CVE-2022-2793、CVE-2022-2792、CVE-2022-2791、CVE-2022-2790、CVE-2022-2789

• Proficy Machine Edition バージョン 9.00およびそれ以前

• Proficy Machine Edition バージョン 9.80およびそれ以前

Emersonが提供するProficy Machine Editionには、次の複数の脆弱性が存在します。

• 完全性チェックの欠如 (CWE-353) - CVE-2022-2793
• 不適切なアクセス制御 (CWE-284) - CVE-2022-2792
• アップロードするファイルの検証が不十分 (CWE-434) - CVE-2022-2791
• デジタル署名の不適切な検証 (CWE-347) - CVE-2022-2790
• データの信頼性確認が不十分 (CWE-345) - CVE-2022-2789
• パストラバーサル (CWE-29) - CVE-2022-2788

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 物理的にアクセス可能な第三者によって、SRTPプロトコルの接続確立後にデータパケットを改ざんされる - CVE-2022-2793
• ローカルのユーザによって、プロジェクトデータに不適切なアクセスをされる - CVE-2022-2792
• ローカルのユーザまたは第三者によって、当該製品と接続したPLCに細工されたファイルをアップロードされる - CVE-2022-2791、CVE-2022-2790、CVE-2022-2789
• 遠隔の第三者によって、当該製品と接続したPLCに悪意あるファイルをアップロードされる - CVE-2022-2788

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

• CVE-2022-2793
  • SRP-6aプロトコルを使用した暗号的に安全な認証機能をサポートするSRTPおよびSNPプロトコルを利用する
• CVE-2022-2792
  • PAC Machine Editionの最新バージョンを使用し、デバイスと伝送パスに物理的セキュリティを採用する
• CVE-2022-2791、CVE-2022-2790、CVE-2022-2789
  • ファイルをアップロードできるユーザを制限する
• CVE-2022-2788
  • ファイルをアップロードできるユーザを制限する
  • 特定の機能が必要でない限り、管理者以外として実行する
  • 信頼できないネットワークを使用してPLCがプログラムされていないことを確認する
  • PLCは、フラット/ブリッジネットワークを使用してプログラムする
  • PLCでの認証も有効にする