JVNVU#180876
GE Fanuc Proficy Information Portal が認証情報を平文で送信する問題

GE Fanuc Proficy Information Portal では、認証情報が平文で送信されます。攻撃者は、この通信を傍受する事で認証情報を入手し、Portal へ侵入する可能性があります。

• E Fanuc Proficy Information Portal version 2.6 およびそれ以前

GE Fanuc Proficy Information Portal は、生産情報システムと企業間ネットワークをつなぎ、オンラインで生産情報などのデータを統合的に扱うウェブベースのシステム状況報告システムです。この Proficy Information Portal の認証情報は、平文で送信されているため、攻撃者によってこの通信が傍受され、認証情報を入手される可能性があります。

通信を傍受できる攻撃者によって、認証情報が取得される可能性があります。

SSL を利用する
Proficy Information Portal version 2.5 以上は、サーバとクライアント間で SSL(Secure Socket Layer)による通信をサポートしています。SSL は、認証・暗号化・完全性・否認防止のためのサービスを、公開鍵と秘密鍵や証明書を用いて提供しています。詳細は、GE Fanuc knowledge base (KB12459) をご参照ください。

Windows 統合認証を有効にする
ベンダによれば、Portal で Domain 認証を利用することにより、ユーザの認証情報を平文で送らないようにすることが可能との事です。詳細は、GE Fanuc knowledge base (KB12459) 、および Microsoft の関連情報をご参照ください。

ワークアラウンドを実施する
インターネットの様な信頼出来ないネットワークから Portal へのアクセスを許可しないでください。