公開日:2020/06/24 最終更新日:2020/06/24

JVNVU#95216163
Honeywell 製品 ControlEdge PLC および ControlEdge RTU に複数の脆弱性

概要

Honeywell が提供する ControlEdge PLC および ControlEdge RTU には複数の脆弱性が存在します。

影響を受けるシステム

  • ControlEdge PLC R130.2, R140, R150, および R151
  • ControlEdge RTU R101, R110, R140, R150, および R151

詳細情報

Honeywell 社が提供する ControlEdge PLC および ControlEdge RTU には、次の複数の脆弱性が存在します。

  • セッショントークンが平文で送信される (CWE-319) - CVE-2020-10624
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 5.9
  • パスワードが平文で送信される (CWE-319) - CVE-2020-10628
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 5.9

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の第三者により、ネットワーク上で暗号化されていないセッショントークンを窃取される - CVE-2020-10624
  • 遠隔の第三者により、ネットワーク上で暗号化されていないパスワードを窃取される - CVE-2020-10628

対策方法

ワークアラウンドを実施する
本脆弱性の影響を軽減する回避策については、開発者から提供されているサポートドキュメント SN2020-04-17-01-ControlEdge-PLC-and-RTU-Secure-Communication (要ログイン) を参照してください。

ベンダ情報

ベンダ リンク
Honeywell International Inc. SN2020-04-17-01-ControlEdge-PLC-and-RTU-Secure-Communication (要ログイン)

参考情報

  1. ICS Advisory (ICSA-20-175-02)
    Honeywell ControlEdge PLC and RTU

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-10624
CVE-2020-10628
JVN iPedia