公開日:2022/08/12 最終更新日:2022/08/12

JVNVU#94819205
Emerson製ROC800シリーズおよびDL8000におけるデータの信頼性確認が不十分な脆弱性

概要

Emerson社が提供するROC800シリーズおよびDL8000には、データの信頼性確認が不十分な脆弱性が存在します。

影響を受けるシステム

  • ROC800 すべてのバージョン
  • ROC800L すべてのバージョン
  • DL8000 すべてのバージョン

詳細情報

Emerson社が提供するROC800シリーズおよびDL8000には、次の脆弱性が存在します。

  • データの信頼性確認が不十分 (CWE-345) - CVE-2022-30264

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 管理者権限でログイン可能な攻撃者によって、ファイルやフォルダの読み取り、書き込み、削除の操作をされる

対策方法

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。
詳細は、開発者が提供するROC800-Series Remote Operations Controller Instruction Manual(PDF)の「1.11 Security Gateway」をご確認ください。

ベンダ情報

ベンダ リンク
Emerson ROC800-Series Remote Operations Controller Instruction Manual(PDF)

参考情報

  1. Forescout Technologies, Inc.
    OT:ICEFALL: 56 Vulnerabilities Caused by Insecure-by-Design Practices in OT
  2. Forescout Technologies, Inc.
    OT:ICEFALL(PDF)
  3. ICS Advisory (ICSA-22-223-04)
    Emerson ROC800, ROC800L and DL8000

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia