重要情報 脆弱性概要 タイトル: PHOENIX CONTACT FL SWITCH CVSS v3: 9.8 アラートコード: ICSA-18-011-03 脆弱性情報 注意: リモートから攻撃可能で、悪意ある攻撃者が脆弱性を悪用するためのスキルレベルは低い。 脆弱性の種類: 不適切な認可、情報漏洩 ベンダー: PHOENIX CONTACT 装置: FL SWITCH 影響 影響: 攻撃が成功すると、認証されていないリモート攻撃者が管理者権限を取得し、認証されていないユーザーに対して情報が露出する可能性がある。 緩和策 緩和策: ファームウェアをバージョン1.33以降にアップグレードする。各FL SWITCHモデルのリンクを提供している。 脆弱性の詳細 不適切な認可 (CWE-285) - CVSS v3 ベーススコア: 9.8 - この脆弱性により、Webサービス認証の回避が可能となる。 - CVE-2017-16743 が割り当てられている。 情報漏洩 (CWE-200) - CVSS v3 ベーススコア: 5.3 - この脆弱性により、モニターモードで診断情報を読み取ることができる。 - CVE-2017-16741 が割り当てられている。 研究者 Positive Technologies所属のIlya KarpovおよびEvgeniy Druzhininが脆弱性を発見した。 ベンダー PHOENIX CONTACT 脆弱性対策 ネットワークでの公開範囲を最小限に抑える。 VPNなどの安全な方法を使用してリモートアクセスを行う。