IntelliComのNetBiter製品にディレクトリトラバーサル含む複数の脆弱性

　情報処理推進機構セキュリティセンター（IPA/ISEC）とJPCERTコーディネーションセンター（JPCERT/CC）は2月7日、IntelliComが提供する「IntelliCom NetBiter NB100」と「同NB200」プラットフォーム上で動作する製品にディレクトリトラバーサルを含む複数の脆弱性が確認されたと「Japan Vulnerability Notes（JVN）」で発表した。

　影響を受けるシステムは、「WebSCADA（WS100、WS200）」と「Easy Connect（EC150）」、「Modbus RTU-TCP Gateway（MB100）」、「Serial Ethernet Server（SS100）」となっている。NB100とNB200のプラットフォーム上で動作する、ほかの製品も影響を受ける可能性があるという。

　これらの製品は、製品にアクセス可能な第三者によって、NetBiterの最上位権限であるsuperadmin権限を取得され、システムファイルや設定ファイルを閲覧される可能性がある。悪意あるコードをアップロードされることで、任意のコマンドを実行される可能性もあるとしている。

　現時点で、WS100とWS200を対象とした修正パッチが公開されている。JVNではアップデートやパッチを適用するまでの間、信頼できない送信元からの製品へのアクセスを制限することで、影響を軽減できるとしている。