NVD Vulnerability Detail

CVE-2021-22289

Summary	Improper Input Validation vulnerability in the project upload mechanism in B&R Automation Studio version >=4.0 may allow an unauthenticated network attacker to execute code.
Publication Date	Aug. 12, 2022, 12:15 a.m.
Registration Date	Aug. 12, 2022, 10 a.m.
Last Update	Nov. 21, 2024, 2:49 p.m.

CVSS3.1 : CRITICAL
スコア	9.8
Vector	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:br-automation:studio::::::::		4.0

Related information, measures and tools

No	URL	refsource	タグ
1	https://www.br-automation.com/downloads_br_productcatalogue/assets/1640529306294-en-original-1.0.pdf		Vendor Advisory
2	https://www.br-automation.com/downloads_br_productcatalogue/assets/1640529306294-en-original-1.0.pdf		Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html

JVN Vulnerability Information

B&R Industrial Automation 製 Automation Studio 4 における不適切な入力確認の脆弱性

Title	B&R Industrial Automation 製 Automation Studio 4 における不適切な入力確認の脆弱性
Summary	B&R Industrial Automation 社が提供する Automation Studio 4 には、プロジェクトアップロード機能を有効にしている場合、次の脆弱性が存在します。　* 不適切な入力確認 - CVE-2021-22289
Possible impacts	脆弱性を悪用された場合、次のような影響を受ける可能性があります。　* 遠隔の第三者によって、コード実行および情報窃取をされたり、サービス運用妨害（DoS）状態にされたりする
Solution	[ワークアラウンドを実施する] プロジェクトアップロード機能はデフォルトで無効になっています。必要のない場合は有効にせず、利用しないでください。開発者は、脆弱なプロジェクトアップロード機能を利用するユーザに対し、以下のワークアラウンドの適用を推奨しています。　* SSL経由のAutomation Network Service Link（ANSL）のみを利用し、PLC上での認証を有効にする　* 「Backing up project source files on the target system」機能を利用する場合は、強固なパスワードで保護する　* ファイアウォールによって、PCLを含むネットワークを不正アクセスから保護する　* 昇格した権限でB&R Automation Studioを実行しない　* ハッシュやデジタル署名を使用するなどして、潜在的に安全でないチャネルを介してやり取りされるB&R Automation Studioプロジェクトファイルの整合性を確認する　* Windows User Access Control（UAC）が有効となっていることを確認する　開発者は、「<a href="https://www.br-automation.com/en/service/cyber-security/" target="blank">B&R Cyber Security guidelines</a>」の適用も推奨しています。
Publication Date	Aug. 17, 2022, midnight
Registration Date	Aug. 18, 2022, 6:56 p.m.
Last Update	June 14, 2024, 2:13 p.m.

Affected System

B&R Industrial Automation

Automation Studio すべてのバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-22289	https://www.cve.org/CVERecord?id=CVE-2021-22289
National Vulnerability Database (NVD)
2	CVE-2021-22289	https://nvd.nist.gov/vuln/detail/CVE-2021-22289

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
B&R Industrial Automation
1	Cyber Security Guidelines	https://www.br-automation.com/en/service/cyber-security/

その他

No	Name	URL
ICS-CERT ADVISORY
1	ICSA-22-228-05	https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-05
JVN
2	JVNVU#93152104	https://jvn.jp/vu/JVNVU93152104/index.html

Change Log

No	Changed Details	Date of change
1	[2022年08月18日] 掲載	Aug. 18, 2022, 6:56 p.m.
2	[2024年06月14日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：内容を更新	June 14, 2024, 10:07 a.m.