サイト内の現在位置を表示しています。
コルソス CSDJ / CSDX シリーズのブラウザアクセスに関する脆弱性について
2018 年 7 月2日
NEC プラットフォームズ株式会社
NEC プラットフォームズ株式会社
1.概要
コルソス CSDJ / CSDX において、アクセス制限不備等の複数の脆弱性が存在することが判明しました。これらの脆弱性に対して悪意ある第三者から攻撃された場合、運用が停止させられる等の危険性があります。
つきましては、ネットワークに接続して運用されている場合、5項の対策を実行されますようお願い致します。
2.対象製品
| 品名 | 対象バージョン | 出荷時期 |
|---|---|---|
| CSDJ-B/H/D | 01.08.00 以前 | 2018 年 6 月以前の出荷品 |
| CSDJ-A | 03.00.00 | |
| CSDX | 1.37210411 以前 | 全出荷品(2016 年 6 月販売終了) |
| CSDX(S) | 2.37210411 以前 | |
| CSDX(D) | 3.37210411 以前 | |
| CSDX(P) | 4.37210411 以前 |
- ※出荷時期は参考情報になります。対象製品かどうかはバージョンをご確認ください。
コルソスCSDJのバージョンの確認方法は、以下の通りです。
-
パソコンからコルソスにアクセスし、ブラウザコントロールでログインする
-
ログイン後、[その他] --> [バージョン情報]を選択し、「FWバージョン」に表示されている部分がコルソスCSDJのバージョン番号です。
詳細な手順については、
CSDJ総合説明書を参照してください。
3.脆弱性の説明
コルソス CSDJ / CSDX シリーズは、アクセス制限不備やクロスサイトスクリプティングなど複数の脆弱性が存在します。
- アクセス制限不備
ブラウザコントロール機能において、管理者権限のないユーザーにより、任意の管理者権限の操作が実行される可能性が有ります。 - クロスサイトスクリプティング
当該製品にログインしているユーザーのウェブブラウザ上で、任意のスクリプトを実行される可能性が有ります。
4.脆弱性がもたらす脅威
コルソスはブラウザコントロールにて、システムデータの変更や出力制御等の機能を提供しています。これらの機能が悪用される脅威が考えられます。
- システムデータを無効な値に変更したり、初期化したりすることで、運用停止される可能性があります。
- システムデータの値を変更することで、意図しない運用状態に変更される可能性があります。
- デジタル / アナログ出力を制御することで、外部機器、設備の意図しない動作が実行される可能性があります。
- センサー等のログデータが流出したり、消去されたりする可能性があります。
5.対策方法
当社にて、脆弱性の対策を致しました。ファームウェアのアップデートをお願いします。
CSDJ
- ファームウェアのダウンロード先
-
ファームウェアのアップデート方法
総合説明書「工事編」の「ファームウェア・アップデート」に従って実施してください。
CSDX
- ファームウェアのダウンロード先
-
ファームウェアのアップデート方法
総合説明書「工事編」の「ファームウェア・アップデート」に従って実施してください。
6.更新履歴
- 2018年7月2日
-
この脆弱性情報を公開しました。
7.連絡先
コルソスCSDJの脆弱性に関する問い合わせ窓口
メール:security_info@calsos.jp.nec.com