JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は6月23日、「JVNVU#97061687: 複数の CODESYS 製品に複数の脆弱性」において、CODESYS社が提供している複数製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムで任意のコードやOSコマンドが実行されたり、サービス運用妨害(DoS)攻撃が行われたりといった被害を受ける危険性がある。
該当する脆弱性に関する情報は、次のセキュリティアドバイザリ(PDF)にまとめられている。
- Advisory2021-06 | Security update for CODESYS Control V2 communication
- Advisory2021-07 | Security update for CODESYS V2 web server
- Advisory2021-08 | Security update for CODESYS Control V2 Linux SysFile library implementation
今回報告されている脆弱性は以下の通り。
- CVE-2021-30186: ヒープベースのバッファオーバーフロー
- CVE-2021-30187: OS コマンドインジェクション
- CVE-2021-30188、CVE-2021-30189: スタックベースのバッファオーバーフロー
- CVE-2021-30190: 不適切なアクセス制御
- CVE-2021-30191: 古典的バッファオーバーフロー
- CVE-2021-30192: 不適切に実装されたセキュリティチェック
- CVE-2021-30193: 境界外書き込み
- CVE-2021-30194: 境界外読み取り
- CVE-2021-30195: 不適切な入力確認
影響を受ける製品は以下の通りとなっている。
- CODESYS Runtime Toolkit 32-bit full v2.4.7.55 より前のバージョンのCODESYS V2 ランタイムシステム(CVE-2021-30186、CVE-2021-30188、CVE-2021-30195)
- CODESYS PLCWinNT v2.4.7.55 より前のバージョンの CODESYS V2 ランタイムシステム(同上)
- CODESYS V2 Runtime Toolkit 32-bit full Version 2.4.7.55 より 前のバージョンをベースとしたLinux 上で動作するすべてのランタイムシステム(CVE-2021-30187)
- スタンドアロンまたは CODESYS ランタイムシステムとして動作するVersion 1.1.9.20 より前のバージョンのCODESYS V2 web server(CVE-2021-30189、CVE-2021-30190、CVE-2021-30191、CVE-2021-30192、CVE-2021-30193、CVE-2021-30194)
受ける可能性のある被害については脆弱性によって異なるが、一部の脆弱性は深刻度が5段階中最も高い「緊急」に分類されており注意が必要。JPCERT/CCは開発者の提供する情報に基づいてアップデートを適用することを推奨している。