JVNVU#94401859
Rockwell Automation製FactoryTalkシリーズにおける複数の脆弱性

Rockwell Automationが提供するFactoryTalkシリーズには、複数の脆弱性が存在します。

CVE-2023-2637、CVE-2023-2638、CVE-2023-2639

• FactoryTalk Policy Manager v6.11.0
• FactoryTalk System Services v6.11.0

• FactoryTalk Edge Gateway v1.3

• FactoryTalk Transaction Manager バージョン 13.10およびそれ以前

Rockwell Automationが提供するFactoryTalkシリーズには、次の脆弱性が存在します。

• ハードコードされた暗号鍵の使用 (CWE-321) - CVE-2023-2637
• 不適切な認証 (CWE-287) - CVE-2023-2638
• 情報送信元の検証エラー (CWE-346) - CVE-2023-2639
• 境界外読み取り (CWE-125)
  • Apache Portable Runtime の脆弱性 (CVE-2021-35940) に起因しています
• リソースの枯渇 (CWE-400) - CVE-2023-2778

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• ローカルネットワーク上の管理者権限を持たないユーザにより、FactoryTalk Policy Managerデータベースへの管理者権限を取得され、不正な変更をされる - CVE-2023-2637
• ローカルネットワーク上の管理者権限を持たないユーザにより、パスワードで保護されていない不正なバックアップ用構成アーカイブがロードされる - CVE-2023-2638
• 遠隔の攻撃者により、FactoryTalk Policy Managerのセキュリティポリシーを含むシステム内の情報を窃取される - CVE-2023-2639
• ローカルネットワーク上のユーザにより、サービス運用妨害（DoS）状態を引き起こされる - CVE-2021-35940
• 遠隔の第三者により、サービス運用妨害（DoS）状態を引き起こされる - CVE-2023-2778

CVE-2023-2637、CVE-2023-2638、CVE-2023-2639、CVE-2021-35940
アップデートする
開発者により当該脆弱性を修正したアップデートが提供されています。
なお、CVE-2021-35940については、アップデートに加えて被害を最小化するための緩和策を実施することが推奨されています。詳細は開発者が提供する情報参照してください。

CVE-2023-2778
パッチを適用する
開発者により当該脆弱性に対処するためのパッチが提供されています。開発者が提供する情報に従いパッチを適用してください。
パッチを適用できない場合は、被害を最小化するための緩和策を実施することが推奨されています。詳細は開発者が提供する情報を参照してください。