公開日:2021/06/25 最終更新日:2021/06/25

JVNVU#94393740
FATEK Automation 製 WinProladder に複数の脆弱性

概要

FATEK Automation 製 WinProladder には、複数の脆弱性が存在します。

影響を受けるシステム

  • WinProladder Versions 3.30 およびそれ以前

詳細情報

FATEK Automation 社が提供する WinProladder は Windows 向けラダープログラミングソフトウェアです。
WinProladder には、次の複数の脆弱性が存在します。

  • 境界外書き込みの脆弱性 (CWE-787) - CVE-2021-32988
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 境界外読み取り (CWE-125) - CVE-2021-32990
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • メモリバッファの境界における不適切な操作制限 (CWE-119) - CVE-2021-32992
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 第三者によって境界外書き込みを引き起こされ、任意のコードを実行される - CVE-2021-32988
  • 第三者によって境界外読み取りを引き起こされ、任意のコードを実行される - CVE-2021-32990
  • 第三者によってメモリバッファ領域を操作され、任意のコードを実行される - CVE-2021-32992

対策方法

2021年6月25日現在、対策方法を提供されていません。
FATEK Automation 社によると対策方法を準備中とのことです。詳細は FATEK customer support ページをご確認ください。

ワークアラウンドを実施する
CISA は本脆弱性の影響を軽減するため、一般的な ICS に関するセキュリティ対策の実施を推奨しています。
詳細は下記の情報をご確認ください。

ベンダ情報

ベンダ リンク
FATEK Automation Fatek customer support
Fatek customer support Winproladder

参考情報

  1. ICS Advisory (ICSA-21-175-01)
    FATEK WinProladder

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia