つみかさね

CVE-2026-24060

Critical(9.1)

CVE-2026-24060 — Automated Logic WebCTRL BACnet平文送信

公開日: 2026-03-22データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
WebCTRLAutomated LogicICS-CERTアドバイザリ参照
CVEAutomated Logic平文送信ICSWebCTRLBACnet

概要

Automated Logic社のビルディングオートメーションシステム「WebCTRL」において、BACnetプロトコルの通信が暗号化されずに平文で送信される脆弱性が存在します。ネットワーク上の攻撃者がパケットを傍受することで、ビル制御コマンドやセンサーデータを盗聴・改ざんする可能性があります。同製品にはCVE-2026-29796(WebSocket認証欠如)も報告されており、複合的なリスクとして対応が必要です。CVSSスコアは9.1(Critical)です。

CVSSベクトル

項目
CVSSスコア9.1 (Critical)
CWECWE-319(機密情報の平文送信)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限不要
ユーザー操作不要

影響を受けるソフトウェア

  • Automated Logic WebCTRL(影響バージョンはICS-CERTアドバイザリを参照)

修正バージョンと回避策

CISA ICS-CERTが公開するアドバイザリに従い対応してください。BACnet/IP通信を暗号化トンネル(VPN等)で保護し、制御ネットワークをIT系ネットワークから分離するセグメンテーションを実施することを推奨します。BACnet Secure Connect(BACnet/SC)への移行も検討してください。

関連リンク

データソース: NVD (NIST)

AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-25192CTEK EV充電ステーション WebSocket認証欠如CVSS 9.4CVE-2026-29796Automated Logic WebCTRL WebSocket認証欠如CVSS 9.4

参考リンク

CISA ICS-CERT:https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-08
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-24060
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。