影響を受ける製品
影響を受ける製品とファームウェアバージョンは以下の通りです。
| 製品シリーズ |
影響を受けるバージョン |
ioPAC 8500-2-RJ45-IEC-T
ioPAC 8500-2-M12-IEC-T |
ファームウェアバージョン1.4以前 |
ioPAC 8600-CPU30-M12-IEC-T
ioPAC 8600-CPU30-RJ45-IEC-T |
ファームウェアバージョン1.2以前 |
対処方法
Moxaが提供するこの脆弱性の影響を受ける製品への対策は以下の通りです。
| 製品シリーズ |
対処方法 |
ioPAC 8500-2-RJ45-IEC-T
ioPAC 8500-2-M12-IEC-T |
項目1および4:
ユーザーがISaGRAFを使用してioPAC 8500/8600シリーズを構成またはプログラミングしない場合は、組み込みのファイアウォールを利用してioPAC 8500/8600シリーズの外部からのTCP 1113およびTCP 1131へのアクセスをブロックし、セキュリティリスクを軽減することをお勧めします。
もし、ユーザーがISaGRAFを使用してioPAC 8500/8600シリーズを構成またはプログラミングする場合は、以下の手順に従ってセキュリティリスクを軽減することをお勧めします。
初回の初期設定時:
- ISaGRAFを介して、ioPAC 8500/8600シリーズをプログラミングまたは構成します。
- 次に、ioPAC 8500/8600シリーズにアクセスし、TCP 1113ポートおよびTCP 1131ポートからのアクセスをブロックします。
- ioPAC 8500/8600シリーズにファイアウォールルールの設定を保存します。
定期メンテナンス(再構成)時:
- 安全な接続を介して、ioPAC 8500/8600シリーズにアクセスします。
- TCP 1113ポートおよびTCP 1131ポートを再度開きます。
- ISaGRAFを介して、ioPAC 8500/8600シリーズを再構成します。
- 次に、ioPAC 8500/8600シリーズにアクセスし、TCP 1113ポートおよびTCP 1131ポートからのアクセスをブロックします。
- ioPAC 8500/8600シリーズにファイアウォールルールの設定を保存します。
ファイアウォールで、ioPAC 8500/8600シリーズのTCP 1113ポートおよびTCP 1131ポートをブロック、再開する手順をご確認ください。(ダウンロードはこちら)
項目2、3、4:
- ioPAC 8500/8600シリーズをファイアウォールの内側に設置し、業務ネットワークから分離します。
- 権限のない人がioPAC 8500/8600シリーズにアクセスできないように、物理的な制御を導入します。
|
謝辞
Kaspersky Lab ICS CERTのAlexander Nochvay氏には、この脆弱性を報告し、製品のセキュリティ強化に向けて当社と協力し、お客様へのより良いサービスの提供を支援していただきました。この場をお借りして御礼申し上げます。
改訂履歴
| バージョン |
説明 |
公開日 |
| 1.0 |
最初の公開 |
2021 年 12 月 1 日 |