公開日:2022/09/14 最終更新日:2022/09/14

JVNVU#90325555
Honeywell製SoftMasterにおける複数の脆弱性

概要

Honeywellが提供するSoftMasterには、複数の脆弱性が存在します。

影響を受けるシステム

  • SoftMaster バージョン 4.51

詳細情報

Honeywellが提供するSoftMasterには、次の複数の脆弱性が存在します。

  • ファイル検索パスの制御不備 (CWE-427) - CVE-2022-2333
  • 重要なリソースに対する不適切なアクセス権の割り当て (CWE-732) - CVE-2022-2332

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって細工されたDLLを読み込むことで、コードが実行される - CVE-2022-2333
  • ローカルの第三者によって、権限昇格される - CVE-2022-2332

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、以下のワークアラウンドの適用も推奨しています。

  • インターネットからシステムを分離するか、影響を受けるハードウェアをファイヤウォールの背後またはDMZに配置することでシステムに対するインターネットからの防御を追加する
  • 対象のネットワークへリモート接続が必要な場合は、VPNなどの手段によって安全なリモート接続環境を確保する
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Honeywell TECHNICAL SUPPORT SELF-SERVICE(要ログイン)

参考情報

  1. ICS Advisory (ICSA-22-256-02)
    Honeywell SoftMaster

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia