JVNVU#93152104
B&R Industrial Automation製Automation Studio 4における不適切な入力確認の脆弱性

B&R Industrial Automation社が提供するAutomation Studio 4には、不適切な入力確認の脆弱性が存在します。

• Automation Studio 4 すべてのバージョン

B&R Industrial Automation社が提供するAutomation Studio 4には、プロジェクトアップロード機能を有効にしている場合、次の脆弱性が存在します。

• 不適切な入力確認 - CVE-2021-22289

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、コード実行および情報窃取をされたり、サービス運用妨害（DoS）状態にされたりする

ワークアラウンドを実施する
プロジェクトアップロード機能はデフォルトで無効になっています。必要のない場合は有効にせず、利用しないでください。
開発者は、脆弱なプロジェクトアップロード機能を利用するユーザに対し、以下のワークアラウンドの適用を推奨しています。

• SSL経由のAutomation Network Service Link（ANSL）のみを利用し、PLC上での認証を有効にする
• 「Backing up project source files on the target system」機能を利用する場合は、強固なパスワードで保護する
• ファイアウォールによって、PCLを含むネットワークを不正アクセスから保護する
• 昇格した権限でB&R Automation Studioを実行しない
• ハッシュやデジタル署名を使用するなどして、潜在的に安全でないチャネルを介してやり取りされるB&R Automation Studioプロジェクトファイルの整合性を確認する
• Windows User Access Control（UAC）が有効となっていることを確認する