公開日:2022/03/23 最終更新日:2022/03/25

JVNVU#93865923
横河電機製CENTUMとExaopcに複数の脆弱性

概要

横河電機株式会社が提供するCENTUMとExaopcには、複数の脆弱性が存在します。

影響を受けるシステム

  • 次のCENTUM CSシリーズで、LHS4800(CAMS for HIS)をインストールしている場合
    • CENTUM CS 3000(CENTUM CS 3000 Small含む)R3.08.10 から R3.09.00まで(*)
  • 次のCENTNUM VPシリーズで、CAMS機能を使用している場合
    • CENTUM VP(CENTUM VP Small、CENTUM VP Basic含む)R4.01.00 から R4.03.00まで(*)
  • CENTUM VP(CENTUM VP Small、CENTUM VP Basic含む)R5.01.00からR5.04.20 まで、R6.01.00からR6.08.00まで
  • 次のExaopcシリーズで、NTPF100-S6「CENTUM VP用CAMS for HIS対応」をインストールしている場合
    • Exaopc R3.72.00からR3.79.00まで
  • B/M9000CS R5.04.01からR5.05.01まで
  • B/M9000 VP R6.01.01からR8.03.01まで
(*)CVE-2022-21194ならびにCVE-2022-23402の影響は受けません。

詳しくは、製品開発者が提供する情報をご確認ください。

詳細情報

横河電機株式会社が提供するCENTUMとExaopcには、次の複数の脆弱性が存在します。

  • OSアカウント認証情報に関するハードコード脆弱性(CWE-798)- CVE-2022-21194
  • CAMSサーバー認証情報に関するハードコード脆弱性(CWE-798)- CVE-2022-23402
  • CAMS for HISサーバーの脆弱性(CWE-23、CWE-302)- CVE-2022-21808、CVE-2022-22729
  • CAMS for HISログサーバーの脆弱性(CWE-117、CWE-23、CWE-400)- CVE-2022-22151、CVE-2022-21177、CVE-2022-22145
  • 管理者権限実行サービスに関する不適切なアクセス権の脆弱性(CWE-78)- CVE-2022-22148
  • 長期データ保管パッケージに関する不適切なアクセス権の脆弱性(CWE-264)- CVE-2022-22141
  • DLLの植え付けの脆弱性(CWE-427)- CVE-2022-23401

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 攻撃者によって製品がインストールされたコンピューターに不正にログインされ、システム内のファイルや共有メモリ等にアクセスされる - CVE-2022-21194
  • 攻撃者によってCAMSサーバーアプリケーション用にハードコードされた認証情報を基に細工された通信データをCAMSサーバーに送信され、CAMSサーバーのすべての機能が悪用される - CVE-2022-23402
  • CAMS for HISサーバーが細工されたパケットを受信した場合、当該サービスを実行するユーザー権限でCAMS for HISサーバー内の任意のファイルが読まれたり、任意の場所にログファイルを作成もしくは上書きされたり、不正なログを作成され問題発生時にログ解析が困難になるなどの事象が発生したりする - CVE-2022-21808、CVE-2022-22729
  • CAMS for HISログサーバーが細工されたパケットを受信した場合、CAMS for HISログサーバーがクラッシュしたり、当該サービスを実行するユーザー権限で任意の場所にログファイルを作成または上書きされたり、不正なログを作成され問題発生時にログ解析が困難になるなどの事象が発生する - CVE-2022-22151、CVE-2022-21177、CVE-2022-22145
  • 攻撃者が製品がインストールされたコンピューターに侵入できた場合、サービスが作成する名前付きパイプのアクセス権の不備により、該当プロセスを実行するシステム権限で任意のプログラムが実行される - CVE-2022-22148
  • 攻撃者が製品がインストールされたコンピューターに侵入できた場合、長期データ保管パッケージが作成する名前付きパイプのアクセス権の不備により、該当プロセスを実行するシステム権限で任意のファイルが削除される - CVE-2022-22141
  • CVE-2022-21194の攻撃を利用した不正なDLLの差し替えならびにDLL読み込みパスの脆弱性を利用したDLLの植え付けが行われる - CVE-2022-23401

対策方法

マイグレーションを行う
次のシステムは保守期間終了製品のため、対策パッチは提供されず、マイグレーションを行う必要があります。

  • CENTUM CS 3000(CENTUM CS 3000 Small含む)R3.08.10からR3.09.00 まで
  • CENTUM VP (CENTUM VP Small、CENTUM VP Basic含む)R4.01.00からR4.03.00まで
  • CENTUM VP(CENTUM VP Small、CENTUM VP Basic含む)R5.01.00からR5.04.20まで
アップデートする
次のシステムは、開発者が提供する情報をもとにアップデートしてください
  • CENTUM VP(CENTUM VP Small、CENTUM VP Basic含む)R6.01.00からR6.08.00まで
  • Exaopc R3.72.00からR3.79.00まで
開発者によると、B/M900ならびにB/M9000 VPの製品自体は本脆弱性の影響を受けないが、一緒にインストールされるCENTUMシリーズに本脆弱性が存在しており、CENTUMシリーズをアップデートする場合は、B/M9000も適切なバージョンにアップデートする必要があるとのことです。

詳しくは、開発者が提供する情報をご覧ください。

ベンダ情報

ベンダ リンク
横河電機株式会社 YSAR-22-0001: CENTUM と Exaopc に複数の脆弱性

参考情報

  1. ICS Advisory (ICSA-22-083-01)
    Yokogawa CENTUM and Exaopc

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2022-23401
CVE-2022-22141
CVE-2022-22148
CVE-2022-22145
CVE-2022-21177
CVE-2022-22151
CVE-2022-22729
CVE-2022-21808
CVE-2022-23402
CVE-2022-21194
JVN iPedia

更新履歴

2022/03/25
[参考情報]にICS Advisoryのリンクを追加しました