公開日:2021/02/12 最終更新日:2021/02/12

JVNVU#98332732
GE Digital 製 HMI/SCADA iFIX に複数の脆弱性

概要

GE Digital 社が提供する HMI/SCADA iFIX には、複数の脆弱性が存在します。

影響を受けるシステム

  • HMI/SCADA iFIX バージョン 6.1 およびそれ以前

詳細情報

GE Digital 社が提供する HMI/SCADA iFIX は、産業用監視制御ソフトウェアです。
HMI/SCADA iFIX には、次の複数の脆弱性が存在します。

  • 重要なリソースに対する不適切なパーミッションの割り当て (CWE-732) - CVE-2019-18243
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N 基本値: 6.1
  • 重要なリソースに対する不適切なパーミッションの割り当て (CWE-732) - CVE-2019-18255
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N 基本値: 6.1

想定される影響

想定される影響は各脆弱性により異なりますが、ローカルの認証されたユーザにより、次のような影響を受ける可能性があります。

  • レジストリを介してシステム全体の iFIX の構成を変更することで、特権を取得される - CVE-2019-18243
  • セクションオブジェクトを介してシステム全体の iFIX の構成を変更することで、特権を取得される - CVE-2019-18255

対策方法

アップデートする
開発者が提供する情報をもとに、以下のバージョンにアップデートしてください。

  • HMI/SCADA iFIX バージョン 6.5
また、GE Digital 社は、リスクをさらに軽減するために、アップデートに加えて、iFIX セキュア導入ガイド (要ログイン) に記載されている事項を順守することを推奨しています。

ベンダ情報

ベンダ リンク
GE Digital GE Digital Security Advisory GED 21-01
iFIX セキュア導入ガイド (要ログイン)

参考情報

  1. ICS Advisory (ICSA-21-040-01)
    GE Digital HMI/SCADA iFIX

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2019-18243
CVE-2019-18255
JVN iPedia