公開日:2021/11/11 最終更新日:2021/11/11

JVNVU#97939297
OSIsoft製PI Visionにおける複数の脆弱性

概要

OSIsoftが提供するPI Visionには、複数の脆弱性が存在します。

影響を受けるシステム

  • PI:Vision 2021より前のバージョン

詳細情報

OSIsoftが提供するデータ可視化ツールPI Visionには、次の複数の脆弱性が存在します。

  • クロスサイトスクリプティング (CWE-79) - CVE-2021-3090
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:L/A:N 基本値: 6.5
  • 不正な認証 (CWE-863) - CVE-2021-3095
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値: 3.1

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • PI Visionへの書き込みアクセス権を持つ遠隔の第三者によって、不正な情報の開示や変更、削除が行われる - CVE-2021-3090
  • 遠隔の第三者によって、本来権限のないデータを閲覧される - CVE-2021-3095

対策方法

アップデートする
OSIsoftが提供する情報をもとに、最新版にアップデートしてください。
OSIsoftは、本脆弱性を修正した次のバージョンをリリースしています。

  • PI:Vision 2021
ワークアラウンドを実施する
OSIsoftによると次のワークアラウンドの適用により、脆弱性の影響を軽減することができます。
  • PI Visionユーザー権限でPublisherとExplorerのロールを構成し、ディスプレイを作成または変更できるユーザーを制限する
  • PI System Explorerまたは一括編集ツールを使用して、AF子属性からLimitsプロパティを削除する
  • WebブラウザにMicrosoft InternetExplorerを使用しない
  • 予期しないまたは不明な要素、属性、または属性プロパティがないことを監視する
  • PI point securityを利用し、AFセキュリティ要素を構成後、適用する
  • PI Visionサーバー専用のIDマッピングを構成し、データ分類ポリシーに従いアクセス許可を管理する

ベンダ情報

ベンダ リンク
OSIsoft OSIsoft PI Vision security bulletin(要ログイン)

参考情報

  1. ICS Advisory (ICSA-21-313-05)
    OSIsoft PI Vision

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia