Hitach Incident Response Team

 11月2日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

制御システム製品

 GE Cimplicity、Advantech/Broadwin WebAccess、Siemens WinCCなどのHMI(Human Machine Interface)製品を対象とした侵害活動が報告されています。ICS-CERTによれば、GE Cimplicityの場合、2012年1月頃から侵害活動が発生していた痕跡と、任意のコード実行を許してしまう脆弱性(CVE-2014-0751)が悪用されていた痕跡について報告しています。脆弱性(CVE-2014-0751)は、2014年1月23日に発行されたアドバイザリーICSA-14-023-01: GE Proficy Multiple Vulnerabilitiesで報告されたものです。

■Meinberg Radio ClocksのLANTIME Mシリーズ(2014/10/30)

 Meinberg Radio Clocks(meinbergglobal.com)のNTPサーバー製品であるLANTIME MシリーズのWebインタフェースには、クロスサイトスクリプティングの脆弱性(CVE-2014-5417)が存在します。

■AccuenergyのAcuvim II AXN-NET Ethernetモジュール(2014/10/30)

 Accuenergy(accuenergy.com)の多機能型の電力計Acuvim IIシリーズのAXN-NET Ethernetモジュールには、不正なURLアクセスによりWebサーバーの認証機構の迂回を許してしまう脆弱性(CVE-2014-2373)と、パスワードの検証にJavaScriptを使用していることに起因してパスワード情報の漏洩を許してしまう脆弱性(CVE-2014-2374)が存在します。いずれの脆弱性を悪用したとしても、攻撃者はAXM-NET Ethernetモジュールのネットワーク設定しか操作できません。

■NordexのNC2:CVE番号割当(2014/10/30)

 2013年10月に報告されたNordex(nordex-online.com)の風力発電用SCADA/HMI製品であるNordex Control 2(NC2)Wind Farm Portalの続報です。クロスサイトスクリプティングの脆弱性(CVE-2014-5408)にCVE番号が割り当てられました。

ここからは会員の登録が必要です。