JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月6日、「JVNVU#92879401: Advantech製WebAccessにおけるスタックベースのバッファオーバーフローの脆弱性」において、Advantech社が提供しているIoTソリューション「Advantech WebAccess」にバッファオーバーフローの脆弱性が報告されていると伝えた。この脆弱性を悪用されると、リモートの攻撃者によって影響を受けたシステム上で任意のコードを実行される危険性がある。
Advantech WebAccessは、Advantech社が提供しているIoTソリューションの中核となるHMI(Human Machine Interface)プラットフォーム。報告されている脆弱性はCVE-2021-38408として追跡されており、リモートからの攻撃に容易に悪用できることから、CVSS v3のベーススコアは9.8で、深刻度が最も高い「Critical(緊急)」に分類されている。
この脆弱性に関して、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は次のセキュリティアドバイザリをリリースしている。
影響を受けるバージョンは以下のとおり。
- WebAccess バージョン 9.02およびそれ以前
本稿執筆時点では、この脆弱性に対応した修正バージョンはリリースされていない。CISAでは、リモートからの攻撃の影響を最小限に抑えるために、以下の防御策を実施することを推奨している。
- すべてのデバイスおよびシステムのネットワーク露出を最小限に抑える
- ファイアウォールの内側にある制御システムネットワークとリモートデバイスをビジネスネットワークから切り離す
- リモートアクセスが必要な場合は、VPNなどの安全な方法を利用する
現在、Advantech社は修正版の開発を進めており、準備ができ次第リリース予定とのこと。該当する製品を利用している場合、同社からのアナウンスをチェックし、修正版がリリースされ次第迅速にアップデートすることが推奨される。