公開日:2022/12/23 最終更新日:2022/12/23

JVNVU#95032760
Priva製TopControl Suiteにおける強度が不十分なパスワードハッシュの使用の脆弱性

概要

Priva社が提供するTopControl Suiteには、強度が不十分なパスワードハッシュの使用の脆弱性が存在します。

影響を受けるシステム

TopControl Suiteの次のコンポーネントが本脆弱性の影響を受けます。

  • Bacnet 8.7.8.0より前のすべてのバージョン
  • Blue ID 8.7.8.0より前のすべてのバージョン
  • Compass 8.7.8.0より前のすべてのバージョン
  • Connect 8.7.8.0より前のすべてのバージョン
  • TPC 8.7.8.0より前のすべてのバージョン

詳細情報

Priva社が提供するTopControl Suiteには、次の脆弱性が存在します。

  • 強度が不十分なパスワードハッシュの使用 (CWE-916) - CVE-2022-3010

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によってSSH認証情報を解析され、当該製品に不正にログインされる

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報、または本件に対応するICS Advisoryをご確認ください。

ベンダ情報

ベンダ リンク
Priva Priva Building Operator | Always in control of your building

参考情報

  1. ICS Advisory (ICSA-22-356-01)
    Priva TopControl Suite

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia