重要情報 バグ記述 バグ ID: VDE-2024-048 公開日: 2024-08-27 10:00 (CEST) 更新日: 2024-08-27 08:58 (CEST) ベンダー: Beckhoff Automation GmbH & Co. KG 影響を受ける製品: - 製品: Package IPC-Diagnostics-www - 影響を受けるバージョン: < 2.1.1.0 - 製品: TwinCAT/BSD - 影響を受けるバージョン: < 14.1.2.0_153968 バグ詳細 説明: TwinCAT/BSD において、製品固有の Web ベース管理 (WBM) インターフェース (Beckhoff Device Manager UI) はデフォルトで有効になっており、リモートまたはローカルからアクセス可能です。ローカルアクセス時、攻撃者は特別に作成された入力を注入することで入力検証を回避でき、その後、管理者権限でのローカルコマンド実行を許可されます。 CVE ID: CVE-2024-41174 深刻度: 7.3 (CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H) 弱点: Web ページ生成時の入力の適切な中立化の欠如('クロスサイトスクリプティング')(CWE-79) 影響 説明: 低権限のローカル攻撃者は、特別に作成された入力を注入して入力検証を回避し、その後、管理者権限でのローカルコマンド実行を許可することができます。 解決策 緩和策: 管理者アクセス以外のユーザーアカウントにおいてログイン権限を持つアカウントを避けてください。TwinCAT/BSD はデフォルトで低権限のユーザーアカウントが事前構成されていますが、それらすべてにパスワードが設定されていないため、ログインアクセスは拒否されます。対象システム上で、実行中のユーザーに関わらず、十分に監査されていないサードパーティアプリケーションの実行を避けてください。 修正策: 影響を受ける製品の最新バージョンに更新してください。一般的に、Beckhoff は個別のパッケージではなく、TwinCAT/BSD オペレーティングシステム全体を最新バージョンに更新することを推奨しています。既存の TwinCAT/BSD インストールの更新については、こちらを参照してください。コマンドラインを通じてオペレーティングシステムのバージョンを確認することもできます。この情報は Beckhoff Device Manager UI からも確認できます。なお、TwinCAT/BSD メジャーバージョン 12 からの更新時は、連続して 2 回のアップグレードが必要です。 報告者 CERT@VDE: Beckhoff との調整 Andrea Palanca: Nozomi Networks による報告