JVNVU#98582782
複数のEmerson製品における複数の脆弱性

Emerson社が提供する複数の製品には、複数の脆弱性が存在します。

CVE-2022-30262

• ControlWave すべてのバージョン

• OpenBSI 5.9 SP3およびそれ以前のバージョン

Emerson社が提供する複数の製品には、次の複数の脆弱性が存在します。

• データの信頼性確認が不十分 (CWE-345) - CVE-2022-30262
• 解読される恐れの高い暗号アルゴリズムの使用 (CWE-327) - CVE-2022-29959
• ハードコードされた暗号鍵の使用 (CWE-321) - CVE-2022-29960

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、不正なファームウェアへの改ざんやコード実行をされたり、サービス拒否（DoS）状態にされたりする - CVE-2022-30262
• 当該システムへのローカルアクセス権を持つ第三者によって、認証情報を窃取される - CVE-2022-29959
• 当該ファイルシステムへのローカルアクセス権を持つ第三者によって、権限昇格される - CVE-2022-29960

ワークアラウンドを実施する
CISAは、ワークアラウンドの適用を推奨しています。

• CVE-2022-30262
  ファームウェアのアップデートは以下の方法で制限できます
  • リモートからのファームウェアダウンロードをブロックするようにハードウェアスイッチを設定する
  • システム変数「_APPLICATION_LOCKED」をTRUEに設定し、リモートからのファームウェアダウンロードを無効にする
  • RTUにファームウェアをインストールする前に、ファームウェアイメージが、EmersonがSupportNetで公開しているSHA256のハッシュ値と一致していることを確認する
• CVE-2022-29959
  開発者は、RTUの認証情報の管理にOpenBSIの「User Management Tool」（すでにサポートされておらず、将来的に削除予定）を使用せず、以下の方法でツールを削除することを推奨しています。
  • ツールを利用している場合は、SecUsers.iniファイルを安全にバックアップする
  • SecUser.iniファイルを削除する
  • UserMngtTool.exeをOpenBSIフォルダから削除する
• CVE-2022-29960
  ハードコードされた暗号鍵によるDES（Data Encryption Standard）を使って、システム認証情報、エンジニアリングファイルおよび機密性の高いユーティリティを保護する
  • OpenBSIおよびRTUを実行しているデバイスは、インターネットに公開しない
    （詳細は、「OpenBSI Utilities Manual D301414x012 Section 6.1 Configuring OpenBSI Security」を参照）

• すべての制御システムデバイスやシステムのネットワーク接続を最小限に抑え、インターネットからアクセスできないようにする
• 制御システムネットワークとリモートデバイスをファイアウォールの奥に設置し、業務ネットワークから分離する
• リモートアクセスが必要な場合は、仮想プライベート ネットワーク（VPN）などの安全な方法を使用する
  • VPNには脆弱性がある可能性があり、利用可能な最新バージョンに更新する必要がある