公開日:2021/12/22 最終更新日:2021/12/22

JVNVU#91777745
Emerson製DeltaVにおける複数の脆弱性

概要

Emerson社が提供するDeltaVには、複数の脆弱性が存在します。

影響を受けるシステム

  • DeltaV Distributed Control System Controllers and Workstations すべてのバージョン

詳細情報

Emerson社が提供するDeltaVには、次の複数の脆弱性が存在します。

  • 重要な機能に対する認証機能の未実装(CWE-306) - CVE-2021-26264
    CVSS v3 CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:N/I:N/A:H 基本値: 6.1
  • DLLファイルの検索パスが適切に制御されていない (CWE-427) - CVE-2021-44463
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:L/I:H/A:H 基本値: 8.1

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 第三者によって、細工されたスクリプトを実行された時に、コントローラーが再起動し、サービス拒否(DoS)状態になる - CVE-2021-26264
  • 第三者によって、細工されたDLLを配置された場合、権限を昇格される - CVE-2021-44463

対策方法

パッチを適用する
Emerson社が提供する情報をもとに、修正パッチを適用してください。
Emerson社はパッチの詳細について、NK-2100-0497 (DSN21008)として情報を公開しています。

ベンダ情報

ベンダ リンク
Emerson Guardian Support Portal(要ログイン)

参考情報

  1. ICS Advisory (ICSA-21-355-04)
    Emerson DeltaV

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia