【注意喚起】Pepperl+Fuchs社のIO-Link Masterシリーズの複数の脆弱性に関する注意喚起
Pepperl+Fuchs社のIO-Link Masterシリーズの複数の脆弱性に関する注意喚起がありました。
I. 概要
2021年1月4日(現地時間)、Pepperl+Fuchs社は産業用IO-LinkゲートウェイであるIO-Link Master
シリーズの複数の脆弱性(CVE-2020-12511、CVE-2020-12512、CVE-2020-12513、
CVE-2020-12514、CVE-2018-20679、CVE-2018-0732)に関する情報を公開しました。
脆弱性を悪用されると、遠隔の第三者が機器の設定を変更したり、root権限を持たないユーザーが
リモートでroot権限で任意のコマンドを実行したりするなどの可能性があります。
Pepperl+Fuchs
PEPPERL+FUCHS: Multiple Products / Comtrol IO-Link Master Multiple Vulnerabilities may allow remote attackers access, program execution and to tap information
本脆弱性に関する情報や修正パッチは2021年1月4日に公開されました。2021年1月13日、脆弱性の
発見者が脆弱性の詳細を解説する記事を公開し、本脆弱性を実証するとみられるコード(PoC)が
公開されています。
なお、本製品はComtrol社製品として国内で販売されていることを確認しています。
II. 対象
対象となる製品とバージョンは次のとおりです。
- IO-Link Master 4-EIP Application base v1.5.48 およびそれ以前
- IO-Link Master 8-EIP Application base v1.5.48 およびそれ以前
- IO-Link Master 8-EIP-L Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-EIP Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-EIP-P Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-EIP-T Application base v1.5.48 およびそれ以前
- IO-Link Master 4-PNIO Application base v1.5.48 およびそれ以前
- IO-Link Master 8-PNIO Application base v1.5.48 およびそれ以前
- IO-Link Master 8-PNIO-L Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-PNIO Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-PNIO-P Application base v1.5.48 およびそれ以前
- IO-Link Master DR-8-PNIO-T Application base v1.5.48 およびそれ以前
III. 対策
影響を受ける製品を次のファームウェアパッケージで更新してください。
- U-Boot bootloader version 1.36またはそれ以降
- image version 1.52またはそれ以降
- Application base version 1.6.11またはそれ以降
また、製品が公衆ネットワークに接続されている場合は、管理画面へのアクセスをファイアウォール
などで制限し、ユーザアカウントにて強固なパスワードを使用することが推奨されています。
詳細は、Pepperl+Fuchs社の情報をご確認ください。
IV. 参考情報
Pepperl+Fuchs
PEPPERL+FUCHS: Multiple Products / Comtrol IO-Link Master Multiple Vulnerabilities may allow remote attackers access, program execution and to tap information
SEC Consult
Multiple Vulnerabilities In Pepperl+Fuchs IO-Link-Master Series
