Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

Schneider Electric製PLCに脆弱性 - アップデートは未提供

Schneider Electric製の制御機器に深刻な脆弱性が含まれていることがわかった。同社の公表から約2カ月が経過しているが、ファームウェアのアップデートは提供されておらず、セキュリティ機関やセキュリティベンダーが注意を喚起している。

同社のプログラマブルコントローラー(PLC)である「Modicon M221」においてUMASプロトコルを処理するネットワークモジュールの実装に起因する脆弱性「CVE-2018-7798」が明らかとなったもの。

データの検証が不十分なため、セキュリティ機能をバイパスし、リモートよりIPv4におけるIPアドレスやゲートウェイ、ネットマスクなどの設定が変更されるおそれがある。

CRITIFENCEのセキュリティ研究者が発見、米国家サイバーセキュリティ通信統合センター(NCCIC)へ報告。脆弱性の判明を受け、Schneider Electricでは、ファイアウォールによる502番ポートのアクセス制限や使用していないプロトコルの制限などリスク軽減策を9月27日にアナウンスした。

その後もファームウェアのアップデートはリリースされておらず、11月に入り、セキュリティ機関やセキュリティベンダーより脆弱性に関する注意喚起が行われている。

(Security NEXT - 2018/11/26 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Unitronics製の産業制御機器、予測容易な初期パスワードに注意
水道局の制御機器を狙うサイバー攻撃が発生 - 米当局が注意喚起
米政府、中国関与のサイバー攻撃者が悪用する脆弱性のリストを公開 - 国内製品も
米英豪など共同で「Log4j脆弱性」について注意喚起 - 産業制御機器でも対策を
ランサムウェア「Cring」、脆弱VPN機器を標的 - 制御システムが停止する被害も
「制御システムセキュカンファレンス2021」の参加受付がスタート
IoT機器で広く採用される「Treck TCP/IP Stack」に深刻な脆弱性
データ分析機器「MELQIC IU1」に複数脆弱性
オムロン製安全回路プログラミングツールに脆弱性 - アップデートがリリース
横河電機の制御機器関連ソフトに脆弱性 - 一部はサポート終了でパッチ提供なし

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.