公開日:2021/05/14 最終更新日:2021/05/14

JVNVU#95873084
Rockwell Automation 製 Connected Components Workbench に複数の脆弱性

概要

Rockwell Automation 社が提供する Connected Components Workbench には、複数の脆弱性が存在します。

影響を受けるシステム

  • Connected Components Workbench v12.00.00 およびそれ以前

詳細情報

Rockwell Automation 社が提供する Connected Components Workbench には、次の複数の脆弱性が存在します。

  • 信頼できないデータのデシリアライゼーション (CWE-502) - CVE-2021-27475
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H 基本値: 8.6
  • パス・トラバーサル (CWE-22) - CVE-2021-27471
    CVSS v3 CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H 基本値: 7.7
  • 不適切な入力確認 (CWE-20) - CVE-2021-27473
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L 基本値: 6.1

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • ローカルのユーザが、第三者の作成した不正なシリアライズオブジェクトを該当製品で開くと、リモートからコード実行される - CVE-2021-27475
  • ローカルのユーザが、第三者の作成した不正なファイルを該当製品で開くと、該当製品の権限で、既存ファイルを上書きされたり新規ファイルを作成されたりする - CVE-2021-27471
  • 悪意を持ったユーザが作成した不正な .ccwarc アーカイブファイルを該当製品で開くことで、製品の権限を取得される - CVE-2021-27473

対策方法

アップデートする
Rockwell Automation 社が提供する情報をもとに、以下のバージョンにアップデートしてください。

  • Connected Components Workbench v13.00.00 またはそれ以降
ワークアラウンドを実施する
アップデートできない場合、Rockwell Automation 社は以下の回避策の実施を推奨しています。
  • 不正コードによる影響の軽減のため、Connected Components Workbench を管理者権限ではなくユーザ権限で実行する
  • Connected Components Workbench で信頼されない .ccwarc アーカイブファイルを開かない
  • Microsoft AppLocker のような製品を利用し、利用アプリケーションをホワイトリスト化することでリスクを軽減する
  • 最小のユーザ権限付与の原則を確認し、データベースのような共有資源にアクセスするユーザやサービスアカウントは必要最低限の権限にする

ベンダ情報

ベンダ リンク
Rockwell Automation, Inc. industrial security advisory from Rockwell Automation (要ログイン)

参考情報

  1. ICS Advisory (ICSA-21-133-01)
    Rockwell Automation Connected Components Workbench

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia