Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Schneider Electric製PLCに脆弱性 - アップデートは未提供

Schneider Electric製の制御機器に深刻な脆弱性が含まれていることがわかった。同社の公表から約2カ月が経過しているが、ファームウェアのアップデートは提供されておらず、セキュリティ機関やセキュリティベンダーが注意を喚起している。

同社のプログラマブルコントローラー(PLC)である「Modicon M221」においてUMASプロトコルを処理するネットワークモジュールの実装に起因する脆弱性「CVE-2018-7798」が明らかとなったもの。

データの検証が不十分なため、セキュリティ機能をバイパスし、リモートよりIPv4におけるIPアドレスやゲートウェイ、ネットマスクなどの設定が変更されるおそれがある。

CRITIFENCEのセキュリティ研究者が発見、米国家サイバーセキュリティ通信統合センター(NCCIC)へ報告。脆弱性の判明を受け、Schneider Electricでは、ファイアウォールによる502番ポートのアクセス制限や使用していないプロトコルの制限などリスク軽減策を9月27日にアナウンスした。

その後もファームウェアのアップデートはリリースされておらず、11月に入り、セキュリティ機関やセキュリティベンダーより脆弱性に関する注意喚起が行われている。

(Security NEXT - 2018/11/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

オムロンの制御機器向けツールパッケージに複数脆弱性
【制御システム】一部オムロン製品にパスワード取得される複数の脆弱性
「CENTUM」など横河電機の制御システムに複数の脆弱性
オムロンの制御機器向けプログラマブルターミナルに複数の脆弱性