公開日:2020/07/08 最終更新日:2020/07/08

JVNVU#91070438
Grundfos 製 CIM 500 に複数の脆弱性

概要

Grundfos 社が提供する CIM 500 には、複数の脆弱性が存在します。

影響を受けるシステム

  • CIM 500 v06.16.00 より前のバージョン

詳細情報

Grundfos 社が提供する CIM 500 は、Grundfos 製の機器でイーサネットを使用したデータ通信を可能にするための拡張モジュールです。
CIM 500 には次の複数の脆弱性が存在します。

  • 重要な機能に対する認証の欠如 (CWE-306) - CVE-2020-10605
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5
  • 認証情報の平文保存 (CWE-256) - CVE-2020-10609
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受けるおそれがあります。

  • 遠隔の第三者により、パスワードが格納されているファイルにアクセスされる - CVE-2020-10605
  • 当該製品に平文で認証情報が格納されているため、当該製品にアクセス可能な第三者が、機微な情報を窃取したり、システム設定を変更したりする- CVE-2020-10609

対策方法

アップデートする
開発者が提供する情報をもとに、使用しているバージョンの最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • CIM 500 v06.16.00
また、アップデート後にユーザーの認証情報を変更することを推奨しています。

ベンダ情報

ベンダ リンク
Grundfos CIM 500

参考情報

  1. ICS Advisory (ICSA-20-189-01)
    Grundfos CIM 500

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-10605
CVE-2020-10609
JVN iPedia