公開日:2024/07/12 最終更新日:2024/07/12

JVNVU#99469766
HMS Industrial Networks製Anybus-CompactCom 30におけるクロスサイトスクリプティングの脆弱性

概要

HMS Industrial Networks社が提供するAnybus-CompactCom 30には、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

  • Anybus-CompactCom 30 全てのバージョン
なお、本脆弱性は当該製品のWebサーバを稼働させている場合に影響を受けます。

詳細情報

HMS Industrial Networks社が提供するAnybus-CompactCom 30には、次の脆弱性が存在します。

  • クロスサイトスクリプティング(CWE-79)-CVE-2024-6558

想定される影響

本脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • サービス運用妨害(DoS)攻撃を受ける
  • データを窃取される
  • 当該機器やそれに付随するシステムに対し高度な制御をされる(リモートコード実行含む)
  • ソーシャルエンジニアリング攻撃を受ける

対策方法

ワークアラウンドを実施する
開発者は、以下のワークアラウンドの実施を推奨しています。

  • 当該製品のモジュールで動作するWebページにパスワード保護を追加する
  • 当該モジュール内のWebサーバを利用不可にするか、エンドユーザが使用不可にできるようにオプションを追加する
  • 当該製品が信頼できるネットワーク内で使用されていることを確認する
  • 制御システムと当該機器がファイアウォールの内側に配備され、企業ネットワークから隔離されていることを確認する
  • Anybus-CompactCom 30 moduleをAnybus-CompactCom 40 moduleに置き換える
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
HMS Networks HMS Security Advisory: XSS in Anybus-CompactCom 30(PDF)

参考情報

  1. ICS Advisory | ICSA-24-193-20
    HMS Industrial Networks Anybus-CompactCom 30

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia