公開日:2021/07/28 最終更新日:2021/07/28

JVNVU#95045416
KUKA製KR C4にハードコードされた認証情報の使用の脆弱性

概要

KUKA社が提供するKR C4には、ハードコードされた認証情報の使用の脆弱性が存在します。

影響を受けるシステム

  • KR C4 8.7より前のバージョン
  • KSS すべてのバージョン

詳細情報

KUKA社が提供するKR C4には、次の脆弱性が存在します。

  • ハードコードされた認証情報の使用(CWE-798) - CVE-2021-33016
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • ハードコードされた認証情報の使用(CWE-798) - CVE-2021-33014
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、機微な情報が格納されたフォルダへのフルアクセス(読み取り/書き込み/削除)を取得される。 - CVE-2021-33016
  • 遠隔の第三者によって、VxWorksシェルを取得される。 - CVE-2021-33014

対策方法

ワークアラウンドを実施する

  • KSS 8.3以降の場合
    • デフォルトのパスワードを変更する
  • KSS 8.2およびそれ以前の場合
    • パスワード変更がサポートされていないため、外部対策によりネットワーク経由でのアクセスおよび物理的なアクセスを制限する

ベンダ情報

ベンダ リンク
KUKA Technical hotline and advisory service - always at your service

参考情報

  1. ICS Advisory (ICSA-21-208-01)
    KUKA KR C4

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia