概要
産業 制御 システム Trane Tracer SC / Tracer SC+ / Tracer Concierge で 脆弱 な 暗号 アルゴリズム の 使用 に より、攻撃者 が 認証 を バイパス し root 権限 で デバイス に アクセス 可能 です。暗号 実装 の 弱点 を 突く こと で 認証 メカニズム を 完全 に 回避 できる ため、産業 制御 環境 に おいて 重大 な リスク と なります。CISA アドバイザリ を 参照 し、速やか に 対策 を 実施 して ください。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 9.8(Critical) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-327(Use of a Broken or Risky Cryptographic Algorithm) |
影響 を 受ける ソフトウェア
| 製品 | 影響 バージョン | 修正 バージョン |
|---|---|---|
| Trane Tracer SC | 全 バージョン | CISA アドバイザリ 参照 |
| Trane Tracer SC+ | 全 バージョン | CISA アドバイザリ 参照 |
| Trane Tracer Concierge | 全 バージョン | CISA アドバイザリ 参照 |
修正 バージョン と 回避策
- 修正 バージョン: CISA アドバイザリ ICSA-26-071-01 を 参照 して ください
- 産業 制御 システム の ため、ネットワーク セグメンテーション に より 該当 デバイス を インターネット から 分離 する こと を 強く 推奨 します
- リモート アクセス が 必要 な 場合 は VPN 等 の セキュア な 接続 手段 を 使用 して ください
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。