-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2021-0004
                                                             JPCERT/CC
                                                            2021-01-21

                 <<< JPCERT/CC Alert 2021-01-21 >>>

 Pepperl+Fuchs社のIO-Link Masterシリーズの複数の脆弱性に関する注意喚起

           https://www.jpcert.or.jp/at/2021/at210004.html

I. 概要
2021年1月4日（現地時間）、Pepperl+Fuchs社は産業用IO-Linkゲートウェイで
あるIO-Link Masterシリーズの複数の脆弱性（CVE-2020-12511、
CVE-2020-12512、CVE-2020-12513、CVE-2020-12514、CVE-2018-20679、
CVE-2018-0732）に関する情報を公開しました。脆弱性を悪用されると、遠隔
の第三者が機器の設定を変更したり、root権限を持たないユーザーがリモート
でroot権限で任意のコマンドを実行したりするなどの可能性があります。

    Pepperl+Fuchs
    PEPPERL+FUCHS: Multiple Products / Comtrol IO-Link Master  Multiple Vulnerabilities may allow remote attackers access, program execution and to tap information
    https://files.pepperl-fuchs.com/webcat/navi/productInfo/doct/tdoct6998a_eng.pdf

本脆弱性に関する情報や修正パッチは2021年1月4日に公開されました。2021年
1月13日、脆弱性の発見者が脆弱性の詳細を解説する記事を公開し、本脆弱性
を実証するとみられるコード（PoC）が公開されています。

なお、本製品はComtrol社製品として国内で販売されていることを確認してい
ます。


II. 対象
対象となる製品とバージョンは次のとおりです。

  - IO-Link Master 4-EIP Application base v1.5.48 およびそれ以前
  - IO-Link Master 8-EIP Application base v1.5.48 およびそれ以前
  - IO-Link Master 8-EIP-L Application base v1.5.48 およびそれ以前
  - IO-Link Master DR-8-EIP Application base v1.5.48 およびそれ以前
  - IO-Link Master DR-8-EIP-P Application base v1.5.48 およびそれ以前
  - IO-Link Master DR-8-EIP-T Application base v1.5.48 およびそれ以前
  - IO-Link Master 4-PNIO Application base v1.5.48 およびそれ以前
  - IO-Link Master 8-PNIO Application base v1.5.48 およびそれ以前
  - IO-Link Master 8-PNIO-L Application base v1.5.48 およびそれ以前
  - IO-Link Master DR-8-PNIO Application base v1.5.48 およびそれ以前
  - IO-Link Master DR-8-PNIO-P Application base v1.5.48 およびそれ以前
  - IO-Link Master DR-8-PNIO-T Application base v1.5.48 およびそれ以前


III. 対策
影響を受ける製品を次のファームウェアパッケージで更新してください。

  - U-Boot bootloader version 1.36またはそれ以降
  - image version 1.52またはそれ以降
  - Application base version 1.6.11またはそれ以降

また、製品が公衆ネットワークに接続されている場合は、管理画面へのアクセ
スをファイアウォールなどで制限し、ユーザアカウントにて強固なパスワード
を使用することが推奨されています。詳細は、Pepperl+Fuchs社の情報をご確認
ください。


IV. 参考情報
    Pepperl+Fuchs
    PEPPERL+FUCHS: Multiple Products / Comtrol IO-Link Master  Multiple Vulnerabilities may allow remote attackers access, program execution and to tap information
    https://files.pepperl-fuchs.com/webcat/navi/productInfo/doct/tdoct6998a_eng.pdf
    
    SEC Consult
    Multiple Vulnerabilities In Pepperl+Fuchs IO-Link-Master Series
    https://sec-consult.com/vulnerability-lab/advisory/multiple-vulnerabilities-in-pepperl-fuchs-io-link-master-series/


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp

制御システムセキュリティ対策グループ
Email：icsr@jpcert.or.jp

-----BEGIN PGP SIGNATURE-----
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=MV3y
-----END PGP SIGNATURE-----