各位
Pepperl+Fuchs社のIO-Link Masterシリーズの複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210004.html
I. 概要2021年1月4日(現地時間)、Pepperl+Fuchs社は産業用IO-LinkゲートウェイであるIO-Link Masterシリーズの複数の脆弱性(CVE-2020-12511、CVE-2020-12512、CVE-2020-12513、CVE-2020-12514、CVE-2018-20679、CVE-2018-0732)に関する情報を公開しました。脆弱性を悪用されると、遠隔の第三者が機器の設定を変更したり、root権限を持たないユーザーがリモートでroot権限で任意のコマンドを実行したりするなどの可能性があります。
Pepperl+Fuchs
PEPPERL+FUCHS: Multiple Products / Comtrol IO-Link Master Multiple Vulnerabilities may allow remote attackers access, program execution and to tap information
https://files.pepperl-fuchs.com/webcat/navi/productInfo/doct/tdoct6998a_eng.pdf
本脆弱性に関する情報や修正パッチは2021年1月4日に公開されました。2021年1月13日、脆弱性の発見者が脆弱性の詳細を解説する記事を公開し、本脆弱性を実証するとみられるコード(PoC)が公開されています。
なお、本製品はComtrol社製品として国内で販売されていることを確認しています。
II. 対象対象となる製品とバージョンは次のとおりです。
- IO-Link Master 4-EIP Application base v1.5.48 およびそれ以前
- IO-Link Master 8-EIP Application base v1.5.48 およびそれ以前
- IO-Link Master 8-EIP-L Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-EIP Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-EIP-P Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-EIP-T Application base v1.5.48 およびそれ以前
- IO-Link Master 4-PNIO Application base v1.5.48 およびそれ以前
- IO-Link Master 8-PNIO Application base v1.5.48 およびそれ以前
- IO-Link Master 8-PNIO-L Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-PNIO Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-PNIO-P Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-PNIO-T Application base v1.5.48 およびそれ以前
III. 対策影響を受ける製品を次のファームウェアパッケージで更新してください。
- U-Boot bootloader version 1.36またはそれ以降
- image version 1.52またはそれ以降
- Application base version 1.6.11またはそれ以降
また、製品が公衆ネットワークに接続されている場合は、管理画面へのアクセスをファイアウォールなどで制限し、ユーザアカウントにて強固なパスワードを使用することが推奨されています。詳細は、Pepperl+Fuchs社の情報をご確認ください。
IV. 参考情報
Pepperl+Fuchs
PEPPERL+FUCHS: Multiple Products / Comtrol IO-Link Master Multiple Vulnerabilities may allow remote attackers access, program execution and to tap information
https://files.pepperl-fuchs.com/webcat/navi/productInfo/doct/tdoct6998a_eng.pdf
SEC Consult
Multiple Vulnerabilities In Pepperl+Fuchs IO-Link-Master Series
https://sec-consult.com/vulnerability-lab/advisory/multiple-vulnerabilities-in-pepperl-fuchs-io-link-master-series/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
制御システムセキュリティ対策グループ
Email:icsr@jpcert.or.jp
JPCERT-AT-2021-0004
JPCERT/CC
2021-01-21
JPCERT/CC Alert 2021-01-21
Pepperl+Fuchs社のIO-Link Masterシリーズの複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210004.html
I. 概要2021年1月4日(現地時間)、Pepperl+Fuchs社は産業用IO-LinkゲートウェイであるIO-Link Masterシリーズの複数の脆弱性(CVE-2020-12511、CVE-2020-12512、CVE-2020-12513、CVE-2020-12514、CVE-2018-20679、CVE-2018-0732)に関する情報を公開しました。脆弱性を悪用されると、遠隔の第三者が機器の設定を変更したり、root権限を持たないユーザーがリモートでroot権限で任意のコマンドを実行したりするなどの可能性があります。
Pepperl+Fuchs
PEPPERL+FUCHS: Multiple Products / Comtrol IO-Link Master Multiple Vulnerabilities may allow remote attackers access, program execution and to tap information
https://files.pepperl-fuchs.com/webcat/navi/productInfo/doct/tdoct6998a_eng.pdf
本脆弱性に関する情報や修正パッチは2021年1月4日に公開されました。2021年1月13日、脆弱性の発見者が脆弱性の詳細を解説する記事を公開し、本脆弱性を実証するとみられるコード(PoC)が公開されています。
なお、本製品はComtrol社製品として国内で販売されていることを確認しています。
II. 対象対象となる製品とバージョンは次のとおりです。
- IO-Link Master 4-EIP Application base v1.5.48 およびそれ以前
- IO-Link Master 8-EIP Application base v1.5.48 およびそれ以前
- IO-Link Master 8-EIP-L Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-EIP Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-EIP-P Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-EIP-T Application base v1.5.48 およびそれ以前
- IO-Link Master 4-PNIO Application base v1.5.48 およびそれ以前
- IO-Link Master 8-PNIO Application base v1.5.48 およびそれ以前
- IO-Link Master 8-PNIO-L Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-PNIO Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-PNIO-P Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-PNIO-T Application base v1.5.48 およびそれ以前
III. 対策影響を受ける製品を次のファームウェアパッケージで更新してください。
- U-Boot bootloader version 1.36またはそれ以降
- image version 1.52またはそれ以降
- Application base version 1.6.11またはそれ以降
また、製品が公衆ネットワークに接続されている場合は、管理画面へのアクセスをファイアウォールなどで制限し、ユーザアカウントにて強固なパスワードを使用することが推奨されています。詳細は、Pepperl+Fuchs社の情報をご確認ください。
IV. 参考情報
Pepperl+Fuchs
PEPPERL+FUCHS: Multiple Products / Comtrol IO-Link Master Multiple Vulnerabilities may allow remote attackers access, program execution and to tap information
https://files.pepperl-fuchs.com/webcat/navi/productInfo/doct/tdoct6998a_eng.pdf
SEC Consult
Multiple Vulnerabilities In Pepperl+Fuchs IO-Link-Master Series
https://sec-consult.com/vulnerability-lab/advisory/multiple-vulnerabilities-in-pepperl-fuchs-io-link-master-series/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
制御システムセキュリティ対策グループ
Email:icsr@jpcert.or.jp
前
コメント
共 有
