公開日:2010/01/21 最終更新日:2010/05/21

JVNVU#144233
Rockwell Automation Allen-Bradley MicroLogix PLC に複数の脆弱性

概要

Rockwell Automation Allen-Bradley MicroLogix PLC には、複数の脆弱性が存在します。

影響を受けるシステム

  • MicroLogix Series

詳しくは、ベンダが提供する情報を参照してください。

詳細情報

Rockwell Automation Allen-Bradley MicroLogix PLC には、複数の脆弱性が存在します。PLC が設置されているネットワークにアクセス可能な第三者によって、PLC の管理パスワードを取得されたり、認証を回避して任意のコマンドを実行されたりする可能性があります。

想定される影響

PLC が設置されているネットワークにアクセス可能な第三者によって、PLC の設定を変更されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。

対策方法

2010年1月20日現在、対策方法はありません。

ワークアラウンドを実施する
対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • PLC が設置されているネットワークへのアクセスを制限する

詳しくはベンダが提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Rockwell Automation MicroLogix Programmable Logic Controllers
Password Security Vulnerability in MicroLogix™ Controllers
Client Software Authentication Security Vulnerability in MicroLogix™ Controllers

参考情報

  1. US-CERT Vulnerability Note VU#144233
    Rockwell Automation Allen-Bradley MicroLogix PLC authentication and authorization vulnerabilities
  2. C4 Security
    Rockwell Automation (Allen Bradley) Multiple Vulnerabilities in Micrologix 1100 & 1400 Series Controllers

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2009-3739
JVN iPedia JVNDB-2010-001059

更新履歴

2010/05/21
関連文書に JVN iPedia へのリンクを追加しました。