• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

CSIRTメモ

チェックしておきたい脆弱性情報<2014.11.28>

寺田 真敏=Hitachi Incident Response Team 2014/11/28 日経コミュニケーション

Hitach Incident Response Team

 11月2日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

制御システム製品

 GE Cimplicity、Advantech/Broadwin WebAccess、Siemens WinCCなどのHMI(Human Machine Interface)製品を対象とした侵害活動が報告されています。ICS-CERTによれば、GE Cimplicityの場合、2012年1月頃から侵害活動が発生していた痕跡と、任意のコード実行を許してしまう脆弱性(CVE-2014-0751)が悪用されていた痕跡について報告しています。脆弱性(CVE-2014-0751)は、2014年1月23日に発行されたアドバイザリーICSA-14-023-01: GE Proficy Multiple Vulnerabilitiesで報告されたものです。

■Meinberg Radio ClocksのLANTIME Mシリーズ(2014/10/30)

 Meinberg Radio Clocks(meinbergglobal.com)のNTPサーバー製品であるLANTIME MシリーズのWebインタフェースには、クロスサイトスクリプティングの脆弱性(CVE-2014-5417)が存在します。

■AccuenergyのAcuvim II AXN-NET Ethernetモジュール(2014/10/30)

 Accuenergy(accuenergy.com)の多機能型の電力計Acuvim IIシリーズのAXN-NET Ethernetモジュールには、不正なURLアクセスによりWebサーバーの認証機構の迂回を許してしまう脆弱性(CVE-2014-2373)と、パスワードの検証にJavaScriptを使用していることに起因してパスワード情報の漏洩を許してしまう脆弱性(CVE-2014-2374)が存在します。いずれの脆弱性を悪用したとしても、攻撃者はAXM-NET Ethernetモジュールのネットワーク設定しか操作できません。

■NordexのNC2:CVE番号割当(2014/10/30)

 2013年10月に報告されたNordex(nordex-online.com)の風力発電用SCADA/HMI製品であるNordex Control 2(NC2)Wind Farm Portalの続報です。クロスサイトスクリプティングの脆弱性(CVE-2014-5408)にCVE番号が割り当てられました。

ここから先はITpro会員(無料)の登録が必要です。

次ページ VMwareセキュリティアップデート:VMSA-...
  • 1
  • 2
  • 3
  • 4

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る