公開日:2023/03/10 最終更新日:2023/03/10

JVNVU#90989800
ABB製S+ Operationsにおける不適切な認証の脆弱性

概要

ABB社が提供するS+ Operationsには、不適切な認証の脆弱性が存在します。

影響を受けるシステム

  • S+ Operations 3.3 SP2(SPR1 2023.0の一部)
  • S+ Operations 3.3 SP1およびそれ以前の3.x系バージョン
  • S+ Operations 2.2
  • S+ Operations 2.1 SP2およびそれ以前の2.x系バージョン

詳細情報

ABB社が提供するS+ Operationsは、同社製分散型制御システム(DCS)"Ability Symphony Plus"のHMIです。
S+ Operationsには、次の脆弱性が存在します。

  • 不適切な認証 (CWE-287) - CVE-2023-0228

想定される影響

不正なクライアントがS+ Operationsサーバ(HMIネットワーク)に接続することによって、正規のS+ Operationsクライアントとして動作する可能性があります。結果として、機微なデータを窃取、改ざんされたり、サービス運用妨害(DoS)攻撃を受けたりする可能性があります。

対策方法

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。
なお、後日アップデートの提供を予定しているとのことです。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
ABB Cyber Security Advisory - Improper authentication vulnerability in S+ Operations(PDF)
Cyber security alerts and notifications

参考情報

  1. ICS Advisory | ICSA-23-068-03
    ABB Ability Symphony Plus

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia