検出

Allen-Bradley MicroLogix 1400 における複数の脆弱性

critical Nessus プラグイン ID 91345

Language:

概要

リモートの Allen-Bradley MicroLogix 1400 コントローラーは、複数の脆弱性の影響を受けます。

説明

リモートの Allen-Bradley MicroLogix 1400 コントローラーにインストールされているファームウェアは、複数の脆弱性の影響を受けます:

 - 状態ファイルで特定のビットを修正するメッセージを処理する際に、欠陥が存在します。認証されていないリモートの攻撃者がこれを悪用して、巧妙に作りこまれたメッセージを通じてサービス拒否状態を引き起こす可能性があります。(CVE-2012-4690)

 - ロジック実行の「stop」コマンドを指定する CIP メッセージを処理する際に、イーサネット/IP プロトコルの実装に欠陥が存在します。認証されていないリモートの攻撃者がこれを悪用して、特別に細工されたメッセージを通じてサービス拒否状態を引き起こす可能性があります。
 (CVE-2012-6435)

 - CIP パケットを解析する際に、ユーザー指定の入力を不適切に検証しているため、バッファオーバーフロー状態が存在します。認証されていないリモート攻撃者がこれを悪用して、無効な形式のパケットを通じて、サービス拒否状態を引き起こす可能性があります。(CVE-2012-6436、CVE-2012-6438)

 - イーサネットのファームウェア更新を適切に認証することに失敗するため、欠陥が存在します。認証されていないリモート攻撃者がこれを悪用して、トロイの木馬の更新画像を通じて、任意のコードを実行する可能性があります。(CVE-2012-6437)

 - ネットワークと構成のパラメーターを修正する CIP メッセージを処理する際に、欠陥が存在します。認証されていないリモート攻撃者がこれを悪用して、巧妙に作りこまれたメッセージを通じてサービス拒否状態を引き起こす可能性があります。(CVE-2012-6439)

 - セッションのリプレイを適切に制限することに失敗するため、欠陥が存在します。中間者攻撃の攻撃者が、これを悪用して、HTTP トラフィックを通じて、リプレイ攻撃を仕掛ける可能性があります。(CVE-2012-6440)

 - 「dump」コマンドを処理する際に、イーサネット/IP プロトコルの実装に情報漏洩の脆弱性が存在します。認証されていないリモート攻撃者がこれを悪用して、巧妙に作りこまれた CIP パケットを通じて、デバイスの起動コードを漏洩する可能性があります。(CVE-2012-6441)

 - 「reset」コマンドを指定する CIP メッセージを処理する際に、イーサネット/IP プロトコルの実装に欠陥が存在します。認証されていないリモート攻撃者がこれを悪用して、巧妙に作りこまれたメッセージを通じてサービス拒否状態を引き起こす可能性があります。(CVE-2012-6442)

注意:Nessus はこれらの問題をテストしていませんが、その代わりにファームウェアの自己報告されたバージョン番号のみに依存しています。

ソリューション

最新バージョンのファームウェアにアップグレードするか、不可能な場合は、ベンダーが推奨する緩和手順を適用してください。

参考資料

https://ics-cert.us-cert.gov/advisories/ICSA-13-011-03

https://ics-cert.us-cert.gov/advisories/ICSA-12-342-01B

https://ics-cert.us-cert.gov/alerts/ICS-ALERT-12-020-02A

https://idp.rockwellautomation.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Drockwellautomation.custhelp.com%26RelayState%3D%2Fapp%2Fanswers%2Fdetail%2Fa_id%2F470154

https://idp.rockwellautomation.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Drockwellautomation.custhelp.com%26RelayState%3D%2Fapp%2Fanswers%2Fdetail%2Fa_id%2F470155

https://idp.rockwellautomation.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Drockwellautomation.custhelp.com%26RelayState%3D%2Fapp%2Fanswers%2Fdetail%2Fa_id%2F470156

https://idp.rockwellautomation.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Drockwellautomation.custhelp.com%26RelayState%3D%2Fapp%2Fanswers%2Fdetail%2Fa_id%2F54102

プラグインの詳細

深刻度: Critical

ID: 91345

ファイル名: scada_AB_micrologix_1400.nbin

バージョン: 1.65

タイプ: remote

ファミリー: SCADA

公開日: 2016/5/27

更新日: 2024/5/20

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: cpe:/h:rockwellautomation:ab_micrologix_controller:1400

必要な KB アイテム: SCADA/ethernetip/cip/tcp/identity/vendorname, SCADA/ethernetip/cip/tcp/identity/devicetype, SCADA/ethernetip/cip/tcp/identity/product, SCADA/ethernetip/cip/tcp/identity/revision

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2012/7/18

脆弱性公開日: 2012/1/19

参照情報

CVE: CVE-2012-4690, CVE-2012-6435, CVE-2012-6436, CVE-2012-6437, CVE-2012-6438, CVE-2012-6439, CVE-2012-6440, CVE-2012-6441, CVE-2012-6442

BID: 56872, 57306, 57307, 57308, 57309, 57310, 57311, 57315, 57317