概要
Automated Logic 社 の ビルディング オートメーション システム WebCTRL に おいて、同一 ポート に バインド する こと で サービス の 偽装 が 可能 な 脆弱性 が 発見 されました。攻撃者 が WebCTRL と 同じ ポート に 別 の サービス を バインド する こと で、正規 の WebCTRL サービス を 偽装 し、通信 の 傍受 や 改ざん を 行う こと が 可能 です。この 脆弱性 は ICS(産業 用 制御 システム)環境 で の 利用 が 想定 され、ビル 管理 システム の セキュリティ に 影響 を 及ぼす 可能性 が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.7 (High) |
| CWE | CWE-605(同一ポートへの複数バインドを許可するサーバー) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 低 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- Automated Logic WebCTRL(影響 バージョン は ベンダー 情報 を 参照)
修正バージョンと回避策
- 修正: Automated Logic 社 の セキュリティ アドバイザリ を 確認 して ください
- 回避策: WebCTRL サーバー へ の ネットワーク アクセス を 制限 し、ICS 環境 の ネットワーク セグメンテーション を 強化 する こと を 推奨 します。ファイアウォール で WebCTRL ポート へ の 不正 アクセス を ブロック して ください
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。