JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月6日、「JVNVU#92879401: Advantech製WebAccessにおけるスタックベースのバッファオーバーフローの脆弱性」において、Advantech社が提供しているIoTソリューション「Advantech WebAccess」にバッファオーバーフローの脆弱性が報告されていると伝えた。この脆弱性を悪用されると、リモートの攻撃者によって影響を受けたシステム上で任意のコードを実行される危険性がある。

Advantech WebAccessは、Advantech社が提供しているIoTソリューションの中核となるHMI(Human Machine Interface)プラットフォーム。報告されている脆弱性はCVE-2021-38408として追跡されており、リモートからの攻撃に容易に悪用できることから、CVSS v3のベーススコアは9.8で、深刻度が最も高い「Critical(緊急)」に分類されている。

この脆弱性に関して、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は次のセキュリティアドバイザリをリリースしている。

  • ICS Advisory (ICSA-21-245-03): Advantech WebAccess

    ICS Advisory (ICSA-21-245-03): Advantech WebAccess

影響を受けるバージョンは以下のとおり。

  • WebAccess バージョン 9.02およびそれ以前

本稿執筆時点では、この脆弱性に対応した修正バージョンはリリースされていない。CISAでは、リモートからの攻撃の影響を最小限に抑えるために、以下の防御策を実施することを推奨している。

  • すべてのデバイスおよびシステムのネットワーク露出を最小限に抑える
  • ファイアウォールの内側にある制御システムネットワークとリモートデバイスをビジネスネットワークから切り離す
  • リモートアクセスが必要な場合は、VPNなどの安全な方法を利用する

現在、Advantech社は修正版の開発を進めており、準備ができ次第リリース予定とのこと。該当する製品を利用している場合、同社からのアナウンスをチェックし、修正版がリリースされ次第迅速にアップデートすることが推奨される。