重要情報 脆弱性説明 脆弱性ID: VDE-2024-045 公開日: 2024-08-27 10:00 (CEST) 更新日: 2024-08-27 08:58 (CEST) ベンダー: Beckhoff Automation GmbH & Co. KG 影響を受ける製品: - IPC Diagnostics package - TwinCAT/BSD - バージョン: < 2.0.0.1, < 14.1.2.0_153968 詳細情報 脆弱性の種類: ローカル認証回避 脆弱性説明: デフォルトでは、TwinCAT/BSD は製品固有の Web インターフェース(WBM)である「Beckhoff Device Manager UI」が有効になっています。これは Beckhoff によって開発されており、リモートまたはローカルの両方からアクセス可能です。ローカルアクセスの場合、Web インターフェースの認証メカニズムは、権限の高低にかかわらず、任意のローカルユーザーによって回避できます。これにより、ユーザーは管理者レベルのアクセス権を取得することができます。 CV番号 CV番号: CVE-2024-41173 重大度 重大度: 7.8 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) 弱点 弱点: 代替パスまたはチャネルを使用した認証の回避 (CWE-288) 影響 影響: 低権限の攻撃者が Web インターフェースの認証メカニズムを回避し、管理者として操作できます。 解決策 軽減策: 管理者アクセス権を持つユーザーアカウント以外、ログイン権限を持つユーザーアカウントが存在しないようにします。TwinCAT/BSD はデフォルトで低権限のユーザーアカウントに事前に設定されていますが、これらのアカウントにはパスワードが設定されていないため、ログインアクセスは拒否されます。ターゲット上で第三者製アプリケーションの監査が不十分なものを実行しないようにしてください。ユーザーが実行しているアプリケーションに関わらず、これが適用されます。 修正策: 影響を受けた製品の最新バージョンに更新してください。一般的に、Beckhoff は個別のパッケージではなく、TwinCAT/BSD オペレーティングシステム全体を最新バージョンに更新することを推奨しています。既存の TwinCAT/BSD インストールを更新する方法の詳細については、こちらを参照してください。また、コマンドラインからオペレーティングシステムのバージョンを確認することもできます。この情報は Beckhoff Device Manager UI でも確認できます。ただし、TwinCAT/BSD のメインバージョン 12 から更新する場合は、2段階のアップグレードが必要です。 報告者 報告者: CERT@VDE と Beckhoff の調整担当 報告者: Andrea Palanca (Nozomi Networks)