公開日:2021/08/27 最終更新日:2021/08/27

JVNVU#92147191
Controlled Electronic Management Systems社製CEM Systems AC2000における不適切な認可処理の脆弱性

概要

Controlled Electronic Management Systems社(Johnson Controls子会社)が提供するCEM Systems AC2000には、不適切な認可処理の脆弱性が存在します。

影響を受けるシステム

Johnson Controls社によると、以下のバージョンを使用するユーザで、シングルサインオン(SSO)を実装し、かつAC2000アプリケーションプログラミングインターフェース(API)をインストールしている場合のみ、本脆弱性の影響を受けるとのことです。

  • CEM Systems AC2000バージョン10.1から10.5までのバージョン

詳細情報

Controlled Electronic Management Systems社(Johnson Controls子会社)が提供するCEM Systems AC2000は、統合セキュリティ管理システムです。CEM Systems AC2000には不適切な認可処理の脆弱性(CWE-285、CVE-2021-27663)が存在します。

想定される影響

遠隔の第三者によって、適切な認可を受けずにシステムにアクセスされる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • CEM Systems AC2000バージョン10.5 Service Feature Pack 2
  • CEM Systems AC2000バージョン10.6
パッチが必要な場合は、CEMサポートチームに連絡してください。

ベンダ情報

ベンダ リンク
Johnson Controls Product Security Advisory
Technical Helpdesk

参考情報

  1. ICS Advisory (ICSA-21-238-01)
    Johnson Controls Controlled Electronic Management Systems CEM Systems AC2000

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia