IntelliComのNetBiter製品にディレクトリトラバーサル含む複数の脆弱性

  • このエントリーをはてなブックマークに追加

 情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERTコーディネーションセンター(JPCERT/CC)は2月7日、IntelliComが提供する「IntelliCom NetBiter NB100」と「同NB200」プラットフォーム上で動作する製品にディレクトリトラバーサルを含む複数の脆弱性が確認されたと「Japan Vulnerability Notes(JVN)」で発表した。

 影響を受けるシステムは、「WebSCADA(WS100、WS200)」と「Easy Connect(EC150)」、「Modbus RTU-TCP Gateway(MB100)」、「Serial Ethernet Server(SS100)」となっている。NB100とNB200のプラットフォーム上で動作する、ほかの製品も影響を受ける可能性があるという。

 これらの製品は、製品にアクセス可能な第三者によって、NetBiterの最上位権限であるsuperadmin権限を取得され、システムファイルや設定ファイルを閲覧される可能性がある。悪意あるコードをアップロードされることで、任意のコマンドを実行される可能性もあるとしている。

 現時点で、WS100とWS200を対象とした修正パッチが公開されている。JVNではアップデートやパッチを適用するまでの間、信頼できない送信元からの製品へのアクセスを制限することで、影響を軽減できるとしている。

  • このエントリーをはてなブックマークに追加