2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

ioPAC 8500およびioPAC 8600シリーズ(IECモデル)コントローラにおける脆弱性

  • アドバイザリーID: MPSA-211201
  • バージョン: V1.0
  • 公開日: 2021年12月1日
  • 参考:
    • CVE-2020-25176、CVE-2020-25178、CVE-2020-25180、CVE-2020-25184
    • KL-CERT-20-022、KL-CERT-20-023、KL-CERT-20-025、KL-CERT-20-026

Moxaの頑丈なモジュラー型プログラマブルコントローラであるioPAC 8500シリーズ(IECモデル)およびioPAC 8600シリーズ(IECモデル)に、複数の脆弱性が見つかりました。これを受け、Moxaはこれらの脆弱性に対処するための関連対策をリリースしました。

見つかった脆弱性の種類と潜在的な影響は以下の通りです。

項目 脆弱性の種類 影響
1 相対パストラバーサル(CWE23)CVE-2020-25176 リモートにいる認証されていない攻撃者が、アプリケーションのディレクトリをトラバースし、リモートでコードが実行される可能性があります。
2 機密情報の平文での送信(CWE-319)CVE-2020-25178 データが暗号化されていないプロトコルを介して転送されるため、リモートにいる攻撃者がファイルをアップロード、読み取り、削除する可能性があります。
3 ハードコード化された暗号鍵の使用(CWE-321)CVE-2020-25180 リモートにいる認証されていない攻撃者が、独自の暗号化されたパスワードをISaGRAF 5ランタイムに渡す可能性があり、デバイス上で情報の漏えいを起こす恐れがあります。
4 保護されていない認証情報の保存(CWE-256)CVE-2020-25184 認証されていない攻撃者が、現場でユーザーのパスワードを侵害し、情報漏えいを起こす可能性があります。
影響を受ける製品およびソリューション

影響を受ける製品

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品シリーズ 影響を受けるバージョン
ioPAC 8500-2-RJ45-IEC-T
ioPAC 8500-2-M12-IEC-T
ファームウェアバージョン1.4以前
ioPAC 8600-CPU30-M12-IEC-T
ioPAC 8600-CPU30-RJ45-IEC-T
ファームウェアバージョン1.2以前

対処方法

Moxaが提供するこの脆弱性の影響を受ける製品への対策は以下の通りです。

製品シリーズ 対処方法
ioPAC 8500-2-RJ45-IEC-T
ioPAC 8500-2-M12-IEC-T
項目1および4:

ユーザーがISaGRAFを使用してioPAC 8500/8600シリーズを構成またはプログラミングしない場合は、組み込みのファイアウォールを利用してioPAC 8500/8600シリーズの外部からのTCP 1113およびTCP 1131へのアクセスをブロックし、セキュリティリスクを軽減することをお勧めします。

もし、ユーザーがISaGRAFを使用してioPAC 8500/8600シリーズを構成またはプログラミングする場合は、以下の手順に従ってセキュリティリスクを軽減することをお勧めします。

初回の初期設定時:
  1. ISaGRAFを介して、ioPAC 8500/8600シリーズをプログラミングまたは構成します。
  2. 次に、ioPAC 8500/8600シリーズにアクセスし、TCP 1113ポートおよびTCP 1131ポートからのアクセスをブロックします。
  3. ioPAC 8500/8600シリーズにファイアウォールルールの設定を保存します。
定期メンテナンス(再構成)時:
  1. 安全な接続を介して、ioPAC 8500/8600シリーズにアクセスします。
  2. TCP 1113ポートおよびTCP 1131ポートを再度開きます。
  3. ISaGRAFを介して、ioPAC 8500/8600シリーズを再構成します。
  4. 次に、ioPAC 8500/8600シリーズにアクセスし、TCP 1113ポートおよびTCP 1131ポートからのアクセスをブロックします。
  5. ioPAC 8500/8600シリーズにファイアウォールルールの設定を保存します。

ファイアウォールで、ioPAC 8500/8600シリーズのTCP 1113ポートおよびTCP 1131ポートをブロック、再開する手順をご確認ください。(ダウンロードはこちら)

項目2、3、4:
  • ioPAC 8500/8600シリーズをファイアウォールの内側に設置し、業務ネットワークから分離します。
  • 権限のない人がioPAC 8500/8600シリーズにアクセスできないように、物理的な制御を導入します。

謝辞

Kaspersky Lab ICS CERTのAlexander Nochvay氏には、この脆弱性を報告し、製品のセキュリティ強化に向けて当社と協力し、お客様へのより良いサービスの提供を支援していただきました。この場をお借りして御礼申し上げます。

改訂履歴

バージョン 説明 公開日
1.0 最初の公開 2021 年 12 月 1 日
  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加