公開日:2023/01/13 最終更新日:2023/01/13

JVNVU#95531475
SAUTER Controls製Nova 200-220シリーズにおける複数の脆弱性

概要

SAUTER Controls社が提供するNova 200-220シリーズには、複数の脆弱性が存在します。

影響を受けるシステム

以下の製品における、BACnetstac4.2.1およびそれ以前のバージョンを含むファームウェア3.3-006およびそれ以前のバージョンが、本脆弱性の影響を受けます。

  • Nova 220 BACnetに接続可能なDDC(EYK220F001)
  • Nova 230 BACnetに接続可能なDDC(EYK230F001)
  • Nova 106 BACnet通信カード(EYK300F001)
  • moduNet300(EY-AM300F001、EY-AM300F002)

詳細情報

SAUTER Controls社が提供するNova 200-220シリーズには、次の複数の脆弱性が存在します。

  • 重要な機能に対する認証の欠如 (CWE-306) - CVE-2023-0052
  • 重要な情報の平文送信 (CWE-319) - CVE-2023-0053

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によってシステムにアクセスされ、デバイスの構成を変更されて悪意のあるコマンドを実行される - CVE-2023-0052
  • 遠隔の第三者によって、資格情報などを窃取され、システムにアクセスされる - CVE-2023-0053

対策方法

アップグレードする
開発者によると、当該製品のサポートは既に終了しており、現在のソリューションにアップグレードすることを推奨するとのことです。
製品のアップグレードなどの詳細は、開発者にお問い合わせください。

ベンダ情報

ベンダ リンク
SAUTER Contact

参考情報

  1. ICS Advisory (ICSA-23-012-05)
    SAUTER Controls Nova 200 – 220 Series (PLC 6)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia