公開日:2022/12/21 最終更新日:2022/12/21

JVNVU#97518052
複数のRockwell Automation製品における複数の脆弱性

概要

Rockwell Automationが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2022-3157

  • CompactLogix 5370 Versions 20-33
  • Compact GuardLogix 5370 Versions 28-33
  • ControlLogix 5570 Versions 20-33
  • ControlLogix5570 redundancy Versions 20-33
  • GuardLogix 5570 Versions 20-33
CVE-2022-46670、CVE-2022-3166
  • MicroLogix 1100 すべてのバージョン
  • MicroLogix 1400 A Versions 7.000およびそれ以前
  • MicroLogix 1400 B/C Versions 21.007およびそれ以前

詳細情報

Rockwell Automationが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 不適切な入力確認 (CWE-20) - CVE-2022-3157
  • クロスサイトスクリプティング (CWE-79) - CVE-2022-46670
  • レンダリングされたユーザインターフェースレイヤまたはフレームの不適切な制限 (CWE-1021) - CVE-2022-3166

想定される影響

脆弱性を悪用された場合、遠隔の第三者によって、次のような影響を受ける可能性があります。

  • 不正なCIPリクエストによって、回復不能な重大な障害が引き起こされたり、サービス運用妨害(DoS)状態にされたりする - CVE-2022-3157
  • 組み込み用Webサーバのホームページを閲覧したユーザのブラウザ上で不正なコードを実行される - CVE-2022-46670
  • デバイス上のWebサーバーアプリケーションが、サービス運用妨害(DoS)状態にされる - CVE-2022-3166

対策方法

CVE-2022-3157
アップデートする
開発者は、アップデートを提供しています。
ワークアラウンドを実施する
開発者は、アップデートに加えて、ワークアラウンドの適用を推奨しています。

CVE-2022-46670、CVE-2022-3166
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Rockwell Automation Recommended Security Guidelines from Rockwell Automation(要ログイン)

参考情報

  1. ICS Advisory (ICSA-22-354-02)
    Rockwell Automation GuardLogix and ControlLogix controllers
  2. ICS Advisory (ICSA-22-354-04)
    Rockwell Automation MicroLogix 1100 and 1400

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia