公開日:2023/03/15 最終更新日:2023/03/15

JVNVU#99472843
AVEVA Plant SCADAおよびAVEVA Telemetry Serverにおける不適切な認可の脆弱性

概要

AVEVA社が提供するAVEVA Plant SCADAおよびAVEVA Telemetry Serverには、不適切な認可の脆弱性が存在します。

影響を受けるシステム

  • AVEVA Plant SCADA 2023、AVEVA Plant SCADA 2020R2 Update 10およびそれ以前のバージョン(旧Citect SCADA)
  • AVEVA Telemetry Server 2020 R2 SP1およびそれ以前のバージョン

詳細情報

AVEVA社が提供するAVEVA Plant SCADAおよび AVEVA Telemetry Serverには、次の脆弱性が存在します。

  • 不適切な認可 (CWE-285) - CVE-2023-1256

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、データを読み取られたり、サービス運用妨害(DoS)状態を引き起こされたり、アラームステータスを改ざんされたりする

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
AVEVA SECURITY BULLETIN AVEVA-2023-002 | AVEVA™ Plant SCADA and AVEVA™ Telemetry Server: Improper Authorization(PDF)

参考情報

  1. ICS Advisory | ICSA-23-073-04
    AVEVA Plant SCADA and AVEVA Telemetry Server

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia