公開日:2020/06/12 最終更新日:2020/06/12

JVNVU#92610962
OSIsoft 製 PI Web API 2019 におけるクロスサイトスクリプティングの脆弱性

概要

OSIsoft 製 PI Web API 2019 には、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

  • PI Web API 2019 Patch 1 (1.12.0.6346) およびそれ以前

詳細情報

PI Web API は、PI System へアクセスする際に使用される RESTful インターフェイスです。
PI Web API 2019 には、クロスサイトスクリプティングの脆弱性 (CWE-79) が存在します。

想定される影響

PI Server への書き込み権限を持つ遠隔の第三者によって、ユーザのウェブブラウザ上で任意のコードを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、以下のバージョンにアップデートしてください。

  • PI Web API 2019 SP1
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
  • PI Web API の設定で認証タイプ anonymous の追加を避け、認証されたユーザのみアクセスできるよう制限する
    • PI Web API の設定で認証タイプ anonymous を追加すると、認証されていないユーザのアクセスが許可されてしまいます
  • WAF を使用して、PI Web API サーバーからの HTTP 応答をブロックする
  • PI Server への書き込みアクセス権限を信頼されたユーザのみに制限する
  • DisableWrite 設定を有効にして、PI AF サーバーへの PI Web API 書き込みアクセスを削除する
  • デスクトップエクスペリエンスがインストールされている Windows サーバーで IE セキュリティ強化の構成 (IE Enhanced Security Configuration) を有効にする

ベンダ情報

ベンダ リンク
OSIsoft PI Web API

参考情報

  1. ICS Advisory (ICSA-20-163-01)
    OSIsoft PI Web API 2019

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
基本値: 7.7
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-12021
JVN iPedia