CVE-2020-12017
| Summary |
GE Grid Solutions Reason RT Clocks, RT430, RT431, and RT434, all firmware versions prior to 08A05. The device’s vulnerability in the web application could allow multiple unauthenticated attacks that could cause serious impact. The vulnerability may allow an unauthenticated attacker to execute arbitrary commands and send a request to a specific URL that could cause the device to become unresponsive. The unauthenticated attacker may change the password of the 'configuration' user account, allowing the attacker to modify the configuration of the device via the web interface using the new password. This vulnerability may also allow an unauthenticated attacker to bypass the authentication required to configure the device and reboot the system.
|
| Publication Date |
June 3, 2020, 4:15 a.m. |
| Registration Date |
Jan. 26, 2021, 11:51 a.m. |
| Last Update |
Nov. 21, 2024, 1:59 p.m. |
|
CVSS3.1 : CRITICAL
|
| スコア |
9.8
|
| Vector |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
低 |
| 攻撃に必要な特権レベル(PR) |
不要 |
| 利用者の関与(UI) |
不要 |
| 影響の想定範囲(S) |
変更なし |
| 機密性への影響(C) |
高 |
| 完全性への影響(I) |
高 |
| 可用性への影響(A) |
高 |
|
CVSS2.0 : HIGH
|
| Score |
9.0
|
| Vector |
AV:N/AC:L/Au:N/C:P/I:P/A:C |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
低 |
| 攻撃前の認証要否(Au) |
不要 |
| 機密性への影響(C) |
低 |
| 完全性への影響(I) |
低 |
| 可用性への影響(A) |
高 |
| Get all privileges. |
いいえ
|
| Get user privileges |
いいえ
|
| Get other privileges |
いいえ
|
| User operation required |
いいえ
|
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:ge:rt430_firmware:*:*:*:*:*:*:*:* |
|
|
|
08a05 |
| execution environment |
| 1 |
cpe:2.3:h:ge:rt430:-:*:*:*:*:*:*:* |
| Configuration2 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:ge:rt431_firmware:*:*:*:*:*:*:*:* |
|
|
|
08a05 |
| execution environment |
| 1 |
cpe:2.3:h:ge:rt431:-:*:*:*:*:*:*:* |
| Configuration3 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:ge:rt434_firmware:*:*:*:*:*:*:*:* |
|
|
|
08a05 |
| execution environment |
| 1 |
cpe:2.3:h:ge:rt434:-:*:*:*:*:*:*:* |
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
GE 製 Grid Solutions Reason RT Clocks に重要な機能に対する認証欠如に関する脆弱性
| Title |
GE 製 Grid Solutions Reason RT Clocks に重要な機能に対する認証欠如に関する脆弱性
|
| Summary |
GE が提供する Grid Solutions Reason RT Clocks は GNSS および GPS の時刻同期システムです。当該製品の Web アプリケーションには、重要な機能に対する認証欠如 (CWE-306) に関する脆弱性が存在します。
|
| Possible impacts |
認証されていない隣接するネットワーク上の第三者によって、次のような影響を受ける可能性があります。 * 任意のコマンドを実行されたり、特定の URL にアクセスし、機器を応答不能な状態にされる * 管理ユーザアカウントのパスワードを変更し、設定や構成を変更される * 認証を回避して、当該製品の構成変更や再起動をされる |
| Solution |
[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性を修正したファームウエア Version 08A05 がリリースされています。 [ワークアラウンドを実施する] 開発者は以下の回避策を適用を推奨しています。 * 当該製品が設置されているローカルネットワークに第三者がアクセスできないように、ネットワークと物理的なセキュリティ対策を強化する * 80/tcp および 443/tcp ポートをブロックし、当該製品の Web インターフェースへのアクセスを遮断する。その際、当該製品が接続している Ethernet にのみブロックルールを適用するよう注意する * すべての制御システムおよび製品について、ネットワークへの露出を最小限に抑え、インターネットからアクセスできないようにする * セキュリティイベントを監視し、予期せぬトラフィックや通信の早期発見を可能にする |
| Publication Date |
June 3, 2020, midnight |
| Registration Date |
June 4, 2020, 2:22 p.m. |
| Last Update |
June 4, 2020, 2:22 p.m. |
Affected System
| General Electric Company |
|
RT430 ファームウエア Version 08A05 より前のバージョン
|
|
RT431 ファームウエア Version 08A05 より前のバージョン
|
|
RT434 ファームウエア Version 08A05 より前のバージョン
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2020年06月04日]
掲載 |
June 4, 2020, 2:22 p.m. |