公開日:2025/01/08 最終更新日:2025/01/08

JVNVU#98395916
複数のABB製品における複数の脆弱性

概要

ABBが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

  • ASPECT-Enterprise ASP-ENT-x 3.08.02およびそれ以前のバージョン
  • NEXUS Series NEX-2x 3.08.02およびそれ以前のバージョン
  • NEXUS Series NEXUS-3-x 3.08.02およびそれ以前のバージョン
  • MATRIX Series MAT-x 3.08.02およびそれ以前のバージョン
製品によって影響を受ける脆弱性が異なり、影響を受けるABB Product IDも多岐に渡ります。詳細については開発者が提供する情報を確認してください。

詳細情報

ABBが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 外部からアクセス可能なファイルまたはディレクトリ(CWE-552)-CVE-2024-6209、CVE-2024-51542
  • 指定されたタイプの入力に対する不適切な検証(CWE-1287)-CVE-2024-6298、CVE-2024-51546、CVE-2024-51550
  • 重要な情報の平文送信(CWE-319)-CVE-2024-6515
  • クロスサイトスクリプティング(CWE-79)-CVE-2024-6516
  • サーバサイドリクエストフォージェリ(CWE-918)-CVE-2024-6784
  • データベースクエリの不適切な無害化(CWE-943)-CVE-2024-48843
  • 制限または調整なしのリソースの割り当て(CWE-770)-CVE-2024-48844、CVE-2024-11316
  • 不十分なパスワード強度(CWE-521)-CVE-2024-48845
  • クロスサイトリクエストフォージェリ(CWEー352)-CVE-2024-48846
  • 暗号学的に弱いハッシュアルゴリズムの使用(CWE-328)-CVE-2024-48847
  • コードインジェクション(CWE-94)-CVE-2024-48839、CVE-2024-48840
  • PHPリモートファイルインクルージョン(CWE-98)-CVE-2024-51541
  • システム構成または設定の外部制御(CWE-15)-CVE-2024-51543、CVE-2024-51544
  • 認証情報の不十分な保護(CWE-522)-CVE-2024-51545
  • アップロードするファイルの検証が不十分(CWE-434)-CVE-2024-51548
  • 絶対パストラバーサル(CWE-36)-CVE-2024-51549
  • 認証情報を初期設定のまま使用(CWE-1392)-CVE-2024-51551
  • Off-by-oneエラー(CWE-193)-CVE-2024-51554
  • デフォルトのパスワードの使用(CWE-1393)-CVE-2024-51555
  • セッション固定(CWE-384)-CVE-2024-11317

想定される影響

脆弱性を悪用された場合、攻撃者によって次のような影響を受ける可能性があります。

  • ファイルにアクセスされる(CVE-2024-6209)
  • リモートでコードを挿入される(CVE-2024-6298)
  • 意図しない資格情報が漏えいされる(CVE-2024-6515)
  • 細工されたスクリプトをクライアントのブラウザに挿入される(CVE-2024-6516)
  • 不正にリソースにアクセスされ、意図しない情報が漏えいされる(CVE-2024-6784)
  • 意図しない情報が漏えいされる(CVE-2024-48843)
  • 当該製品をサービス運用妨害(DoS)状態にされる(CVE-2024-48844)
  • 当該製品に管理者権限でアクセスされる(CVE-2024-48845)
  • 機微な情報を漏えいされたり、システムの設定を改ざんされたりする(CVE-2024-48846)
  • 情報を改ざんされる(CVE-2024-48847)
  • リモートでコードが実行される(CVE-2024-48839、CVE-2024-48840)
  • 機微な情報にアクセスされる(CVE-2024-51541)
  • 依存関係にある設定情報にアクセスされる(CVE-2024-51542)
  • アプリケーションの設定情報にアクセスされる(CVE-2024-51543)
  • サービスの再起動リクエストおよびVM構成設定にアクセスされる(CVE-2024-51544)
  • アプリケーションレベルのユーザー名の追加、削除、変更および一覧表示機能へアクセスされる(CVE-2024-51545)
  • オンボードプロジェクトのバックアップバンドルにアクセスされる(CVE-2024-51546)
  • 細工されたスクリプトをアップロードされる(CVE-2024-51548)
  • 意図しないリソースへアクセスされ、改ざんされる(CVE-2024-51549)
  • 未検証および未サニタイズのデータが当該製品に挿入される(CVE-2024-51550)
  • 公開されているデフォルトの認証情報を使用して当該製品にアクセスされる(CVE-2024-51551、CVE-2024-51555)
  • ログスクリプトにおいて、配列の境界外の状態が発生する(CVE-2024-51554)
  • サイズ制限を回避されたり、当該製品を過負荷にされたりする(CVE-2024-11316)
  • 当該製品上のセッションを乗っ取られる(CVE-2024-11317)

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
ABB ASPECT System, multiple vulnerabilities reported - ABBVREP0162_RevD_Advisory_ASPECT_Vuln(PDF)

参考情報

  1. ICS Advisory | ICSA-25-007-01
    ABB ASPECT-Enterprise, NEXUS, and MATRIX Series Products

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia