JVNVU#339345
GE Fanuc Proficy Information Portal が任意のファイルをアップロードおよび実行を許可する問題

GE Fanuc Proficy Information Portal は、認証済みユーザに任意のファイルのアップロードを許可します。攻撃者は、実行可能なサーバーサイドスクリプト(例： Windows Internet Information Server の ASP shell 等）をアップロードしたり、ウェブサーバの実行権限で任意のコマンドを実行する可能性があります。

• E Fanuc Proficy Information Portal v2.6 およびそれ以前

GE Fanuc Proficy Information Portal は、生産情報システムと企業間ネットワークをつなぎ、オンラインで生産情報などのデータを統合的に扱うウェブベースのシステム状況報告システムです。この Proficy Information Portal には "Add WebSource" 機能が提供されており、ログイン可能な利用者は、サーバに様々なファイルをアップロードし、実行させる事が可能です。

実行可能なファイル(例：ASP シェル)をウェブブラウザからアップロードする事によって、ログインした攻撃者は任意のコードを実行する可能性があります。この行為によって、攻撃者は脆弱性のある生産情報システムにアクセスする可能性があります。

パッチを適用する
GE Funac は Software Improvement Module(SIM) for PROFICY 2.6 を 2008/2/15 に提供予定です。詳しくは、GE Fanuc knowledge base (KB12460) をご確認ください。

アップデートする
Proficy Information Portal v2.6 より前のバージョンをお使いの場合、Proficy Information Portal v2.6 およびそれ以降にアップデートして、上記のパッチを適用してください。詳しくは、GE Fanuc knowledge base (KB12460) をご確認ください。

アクセス制限をする
信頼出来ないネットワークからの Proficy Information Portal への通信を制限してください。

URL をフィルターする
reverse HTTP proxy、 ウェブサーバの URL フィルタリング機能、あるいは同様の手法を使う事で、ファイルの名前や拡張子で Proficy Information Portal にアップロード出来るファイルを制限してください。