JVNVU#93757182
FANUC製ロボットコントローラにおける複数の脆弱性

ファナック株式会社が提供するロボットコントローラには複数の脆弱性が存在します。

• R-30iA、R-30iA Mateシリーズ v7.20、v7.30、v7.40、v7.43、v7.50、v7.63、v7.70
• R-30iB、R-30iB Mateシリーズ v8.10、v8.13、v8.20、v8.23、v8.26、v8.30、v8.33、v8.36
• R-30iB Plus、R-30iB Mate Plus、R-30iB Compact Plus、R-30iB Mini Plusシリーズ v9.10、v9.13、v9.16、v9.30、v9.36、v9.40

ファナック株式会社が提供するロボットコントローラには次の複数の脆弱性が存在します。

• 整数値の強制による実装上の誤り (CWE-192) - CVE-2021-32996

  CVSS v3

  CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:H

  基本値: 7.4

• 境界外書き込み (CWE-787) - CVE-2021-32998

  CVSS v3

  CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:H

  基本値: 7.4

想定される影響は各脆弱性により異なりますが、遠隔の第三者によって、次のような影響を受ける可能性があります。

• 機器がクラッシュさせられる（復旧には機器の再起動を要する） - CVE-2021-32996
• 任意のコードを実行される（復旧にはバックアップからのINIT STARTまたはrestoreを要する） - CVE-2021-32998

ワークアラウンドを実施する
開発者は、脆弱性に対する影響を軽減するために以下のワークアラウンドを推奨しています。

• FANUC Server Access Control (FSAC)機能を利用して、IPアドレスに基づくFANUC webサーバへのアクセス制御を実施する
• アクセスレベルに基づいて不要なポートを閉じ、利用可能なネットワークプロトコルを制限する