公開日:2022/07/27 最終更新日:2022/07/27

JVNVU#99900491
Honeywell製Safety Managerにおける複数の脆弱性

概要

Honeywellが提供するSafety Managerには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2022-30313、CVE-2022-30315、CVE-2022-30316

  • Safety Manager すべてのバージョン
CVE-2022-30314
  • Safety Manager R160.1より前のバージョン

詳細情報

Honeywellが提供するSafety Managerには、次の複数の脆弱性が存在します。

  • データの信頼性確認が不十分 (CWE-345) - CVE-2022-30315、CVE-2022-30316
  • 重要な機能に対する認証の欠如 (CWE-306) - CVE-2022-30313
  • ハードコードされた認証情報の使用 (CWE-798) - CVE-2022-30314

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、CPUモジュール上でコード実行される - CVE-2022-30315
  • ローカルのSafetyBuilderプロトコル機能を呼び出せる第三者によって、設定やシステムの変更をされる - CVE-2022-30313
  • ローカルのシリアルインターフェイスにアクセスできる第三者によって、ブートプロセスを制御されファームウェアイメージを操作される - CVE-2022-30314
  • ローカルの第三者がシリアルインターフェイスへアクセスすることで、ブートプロセスを制御されたり、悪意のあるファームウェアをプッシュされたりする - CVE-2022-30316

対策方法

アップデートまたはワークアラウンドを実施する

  • CVE-2022-30314
    • Safety Manager R160.1以降のリリースで修正済みです。詳細は、開発者が提供する情報をご確認ください。
  • CVE-2022-30313、CVE-2022-30315、CVE-2022-30316
    • 開発者は、ワークアラウンドの適用を推奨しています。詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Honeywell Safety Systems Safety Manager

参考情報

  1. ICS Advisory (ICSA-22-207-02)
    Honeywell Safety Manager

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia