公開日:2021/10/13 最終更新日:2021/10/13

JVNVU#97189148
複数のAdvantech製品における複数の脆弱性

概要

Advantech社が提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2021-38431

  • WebAccess/SCADA V9.0.3およびそれ以前
CVE-2021-33023、CVE-2021-38389
  • WebAccess V9.02およびそれ以前

詳細情報

Advantech社が提供する複数の製品には、次の複数の脆弱性が存在します。

  • 認証の欠如 (CWE-862) - CVE-2021-38431
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値: 4.3
  • ヒープベースのバッファオーバーフロー (CWE-122) - CVE-2021-33023
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • スタックベースのバッファオーバーフロー (CWE-121) - CVE-2021-38389
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • API関数を使用するユーザによって、他のユーザのプロジェクト名およびプロジェクトパスを閲覧される - CVE-2021-38431
  • 遠隔の第三者によって、任意のコードを実行される - CVE-2021-33023、CVE-2021-38389

対策方法

アップグレードする
開発者が提供する情報をもとに、最新版へアップグレードしてください。
開発者によると、CVE-2021-38431およびCVE-2021-38389は以下のバージョンで修正されているとのことです。

CVE-2021-38431

  • WebAccess/SCADA V9.1.1以降
CVE-2021-38389
  • WebAccess V9.1.1
ワークアラウンドを実施する
開発者はCVE-2021-33023への対策として、次のワークアラウンドの実施を推奨しています。
  • リモートアクセスコードを直接追加する
    • このリモートアクセスコードは、OPC ServerコンピュータへのAdvantech WebAccess SCADAソフトウェア(SCADA node、project node、OPC Service)インストール時に発行されるもので、これと一致するリモートアクセスコードを当該製品に直接追加する
OPC Serverノードへのソフトウェアインストール時に利用するリモートアクセスコードを控えていない場合は、次のいずれかの手順を実施してください。

ベンダ情報

ベンダ リンク
Advantech WebAccess/SCADA

参考情報

  1. ICS Advisory (ICSA-21-285-01)
    Advantech WebAccess SCADA
  2. ICS Advisory (ICSA-21-285-02)
    Advantech WebAccess

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia