United States Computer Emergency Readiness Team (US-CERT)は8月4日(現地時間)、「Delta Industrial Automation CNCSoft ScreenEditor|CISA」において、Delta Electronicsが提供している産業用オートメーションシステムの「Industrial Automation CNCSoft ScreenEditor」に複数の脆弱性が存在すると伝えた。対象の脆弱性を悪用されると、攻撃者によって情報の読み取りや変更、任意のコードの実行、アプリケーションのクラッシュなどが行われる危険性がある。
今回のレポートでは、以下の3つの脆弱性が報告されている。
- CWE-121: Stack-based Buffer Overflow
- CWE-125: Out-of-bounds Read
- CWE-824: Access of Uninitialized Pointer
CWE-121は、特別に加工されたプロジェクトファイルを処理する場合にスタックオーバーフローが発生する脆弱性。攻撃者によって悪意をもって加工されたプロジェクトファイルが読み込まれた場合、機密情報の読み取りや編集、任意コードの実行、アプリケーションのクラッシュが引きこされる危険性がある。
CWE125は、特別に加工されたプロジェクトファイルを処理する場合に範囲外のメモリの内容を読み取られるおそれがある脆弱性。攻撃者によって悪意をもって加工されたプロジェクトファイルが読み込まれた場合、機密情報の読み取りが行われる危険性がある。
CWE-824は、特別に加工されたプロジェクトファイルを処理する際に初期化されていないポインタにアクセスされる可能性があるという脆弱性。攻撃者によって悪意をもって加工されたプロジェクトファイルが読み込まれた場合、機密情報の読み取りや編集、任意コードの実行、アプリケーションのクラッシュが引きこされる危険性がある。
これらの脆弱性が存在するとされているバージョンは以下のとおり。
- Industrial Automation CNCSoft ScreenEditor Versions 1.01.23およびそれ以前
最新版であるVersion 1.01.26にアップデートすることで、これらの脆弱性は修正できるとのこと。これらの脆弱性はリモートからの攻撃に悪用できるものではないが、内部に悪意をもったユーザーがいた場合にシステムや機密情報が危険にさらされることになる。Delta Electronicsは、最新版にアップデートするとともに、アプリケーションに適用するファイルを信頼できるものに限定することを推奨している。