公開日:2021/10/06 最終更新日:2021/10/06

JVNVU#96051696
Emerson製WirelessHART Gatewayにおける複数の脆弱性

概要

Emerson社が提供するWirelessHART Gatewayには、複数の脆弱性が存在します。

影響を受けるシステム

  • WirelessHART 1410 Gateway v4.7.94より前のバージョン
  • WirelessHART 1410D Gateway v4.7.94より前のバージョン
  • WirelessHART 1420 Gateway v4.7.94より前のバージョン

詳細情報

Emerson社が提供するWirelessHART Gatewayには、次の複数の脆弱性が存在します。

  • 重要な機能に対する認証の欠如 (CWE-306) - CVE-2021-85337
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H 基本値: 8.0
  • 不適切な入力確認 (CWE-20) - CVE-2021-03554
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H 基本値: 8.0
  • パストラバーサル (CWE-22) - CVE-2021-24769
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H 基本値: 8.0
  • 任意の場所に任意の値を書き込み可能な状態 (CWE-123) - CVE-2021-22439
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H 基本値: 8.0
  • OSコマンドインジェクション (CWE-78) - CVE-2021-81019
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H 基本値: 8.0
  • 情報漏えい (CWE-200) - CVE-2021-10073
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H 基本値: 8.0

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • ユーザーによって、アカウントを乗っ取られたり、設定を変更されたりする - CVE-2021-85337
  • ユーザーによって、ディスク上の任意のファイルを上書きされる - CVE-2021-03554
  • ユーザーによって、任意のフォルダにアクセスされる - CVE-2021-24769
  • ユーザーによって、設定を変更されたり、その他の重要な機能を上書きされたりする- CVE-2021-22439
  • ユーザーによって、任意のコードを実行される - CVE-2021-81019
  • ユーザーによって、他のユーザー名とパスワードを閲覧される - CVE-2021-10073

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、[影響を受けるシステム]に記載の各製品に対して、本脆弱性を修正した次のバージョンをリリースしています。

  • v4.7.105

ベンダ情報

ベンダ リンク
Emerson Emerson Wireless Gateway Firmware

参考情報

  1. ICS Advisory (ICSA-21-278-02)
    Emerson WirelessHART Gateway

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia