公開日:2021/03/05 最終更新日:2021/03/05

JVNVU#91375175
Schneider Electric 製 EcoStruxure Building Operation 製品群に複数の脆弱性

概要

Schneider Electric 社が提供する EcoStruxure Building Operation 製品群には、複数の脆弱性が存在します。

影響を受けるシステム

本脆弱性の影響を受ける EcoStruxure Building Operation 製品は以下となります。

  • WebReports v1.9 から v3.1 まで
  • WebStation v2.0 から v3.1 まで
  • Enterprise Server installer v1.9 から v3.1 まで
  • Enterprise Central installer v2.0 から v3.1 まで

詳細情報

EcoStruxure Building Operation は Schneider Electric 社 が提供する施設管理ソフトウェアです。
EcoStruxure Building Operation 製品の一部には次の複数の脆弱性が存在します。

  • 危険なタイプのファイルの無制限アップロード (CWE-434) - CVE-2020-7569
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:L 基本値: 4.6
  • クロスサイトスクリプティング (CWE-79) - CVE-2020-7570
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:L/A:L 基本値: 6.4
  • クロスサイトスクリプティング (CWE-79) - CVE-2020-7571
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値: 6.1
  • XML外部エンティティの不適切な制限 (CWE-611) - CVE-2020-7572
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:L/A:H 基本値: 6.7
  • 不適切なアクセス制御 (CWE-284) - CVE-2020-7572
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L 基本値: 5.0
  • 引用符で囲まれていない検索パスまたは要素 (CWE-428) - CVE-2020-28209
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:N 基本値: 2.0
  • クロスサイトスクリプティング (CWE-79) - CVE-2020-28210
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値: 4.3

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 当該製品にログイン可能な遠隔の第三者によって、悪意のあるファイルをアップロードされると、任意のコードを実行される - CVE-2020-7569
  • WebReports にログインした状態のユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2020-7570、CVE-2020-7571
  • 認証された遠隔の第三者によって、任意の XML コードを挿入されることにより、機密データの窃取やサービス運用妨害 (DoS) 状態にされたり、サーバサイドリクエストフォージェリを行われたりする - CVE-2020-7572
  • 遠隔の第三者によって、アクセス制限されている Web リソースにアクセスされる - CVE-2020-7573
  • Connect Agent Service のバイナリパス上にあるサブフォルダの書き込み権限を持つローカルの Windows ユーザによって、当該サービスを開始したユーザの権限を取得される - CVE-2020-28209
  • 当該製品にログインしたユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2020-28210

対策方法

アップデートを実施する
開発者が提供する情報をもとに、最新版にアップデートしてください。
詳細は、Schneider Electric Customer Care Center か Schneider Electric 担当者にお問い合わせください。

パッチを適用する
開発者が提供する情報をもとにパッチを適用してください。
開発者は、EcoStruxure Building Operation の各製品のバージョン 3.2 より前のバージョンに対して、パッチを提供しています。

ベンダ情報

ベンダ リンク
Schneider Electric Schneider Electric Customer Care Center
Security Notification - EcoStruxure™ Building Operation (EBO)

参考情報

  1. ICS Advisory (ICSA-21-063-02)
    Schneider Electric EcoStruxure Building Operation (EBO)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-7569
CVE-2020-7570
CVE-2020-7571
CVE-2020-7572
CVE-2020-7573
CVE-2020-28209
CVE-2020-28210
JVN iPedia