NVD脆弱性詳細

CVE-2020-12017

概要	GE Grid Solutions Reason RT Clocks, RT430, RT431, and RT434, all firmware versions prior to 08A05. The device’s vulnerability in the web application could allow multiple unauthenticated attacks that could cause serious impact. The vulnerability may allow an unauthenticated attacker to execute arbitrary commands and send a request to a specific URL that could cause the device to become unresponsive. The unauthenticated attacker may change the password of the 'configuration' user account, allowing the attacker to modify the configuration of the device via the web interface using the new password. This vulnerability may also allow an unauthenticated attacker to bypass the authentication required to configure the device and reboot the system.
公表日	2020年6月3日4:15
登録日	2021年1月26日11:51
最終更新日	2024年11月21日13:59

CVSS3.1 : CRITICAL
スコア	9.8
ベクター	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : HIGH
スコア	9.0
ベクター	AV:N/AC:L/Au:N/C:P/I:P/A:C
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	高
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:ge:rt430_firmware::::::::					08a05
実行環境
1	cpe:2.3:h:ge:rt430:-:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:o:ge:rt431_firmware::::::::					08a05
実行環境
1	cpe:2.3:h:ge:rt431:-:::::::*

構成3		以上	以下	より上	未満
cpe:2.3:o:ge:rt434_firmware::::::::					08a05
実行環境
1	cpe:2.3:h:ge:rt434:-:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://www.us-cert.gov/ics/advisories/icsa-20-154-05		Third Party Advisory US Government Resource
2	https://www.us-cert.gov/ics/advisories/icsa-20-154-05		Third Party Advisory US Government Resource

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-306	重要な機能に対する認証の欠如解説	https://cwe.mitre.org/data/definitions/306.html

JVN脆弱性情報

GE 製 Grid Solutions Reason RT Clocks に重要な機能に対する認証欠如に関する脆弱性

タイトル	GE 製 Grid Solutions Reason RT Clocks に重要な機能に対する認証欠如に関する脆弱性
概要	GE が提供する Grid Solutions Reason RT Clocks は GNSS および GPS の時刻同期システムです。当該製品の Web アプリケーションには、重要な機能に対する認証欠如 (CWE-306) に関する脆弱性が存在します。
想定される影響	認証されていない隣接するネットワーク上の第三者によって、次のような影響を受ける可能性があります。 * 任意のコマンドを実行されたり、特定の URL にアクセスし、機器を応答不能な状態にされる * 管理ユーザアカウントのパスワードを変更し、設定や構成を変更される * 認証を回避して、当該製品の構成変更や再起動をされる
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。本脆弱性を修正したファームウエア Version 08A05 がリリースされています。 [ワークアラウンドを実施する] 開発者は以下の回避策を適用を推奨しています。 * 当該製品が設置されているローカルネットワークに第三者がアクセスできないように、ネットワークと物理的なセキュリティ対策を強化する * 80/tcp および 443/tcp ポートをブロックし、当該製品の Web インターフェースへのアクセスを遮断する。その際、当該製品が接続している Ethernet にのみブロックルールを適用するよう注意する * すべての制御システムおよび製品について、ネットワークへの露出を最小限に抑え、インターネットからアクセスできないようにする * セキュリティイベントを監視し、予期せぬトラフィックや通信の早期発見を可能にする
公表日	2020年6月3日0:00
登録日	2020年6月4日14:22
最終更新日	2020年6月4日14:22

影響を受けるシステム

General Electric Company

RT430 ファームウエア Version 08A05 より前のバージョン

RT431 ファームウエア Version 08A05 より前のバージョン

RT434 ファームウエア Version 08A05 より前のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-12017	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12017

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-306	https://cwe.mitre.org/data/definitions/306.html

ベンダー情報

No	名前	URL
General Electric
1	Reason RT430/RT434 - GPS/GNSS Precision Clocks	https://www.gegridsolutions.com/app/ViewFiles.aspx?prod=RT430&type=7
2	Reason RT431 - Time Code Generator	https://www.gegridsolutions.com/app/ViewFiles.aspx?prod=RT431&type=7
3	Reason RT43X - GPS/GNSS Precision ClocksRelease Notes	https://www.gegridsolutions.com/products/software/AlstomEnergy/FW-08A05_Notes.pdf

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-20-154-05	https://www.us-cert.gov/ics/advisories/icsa-20-154-05
JVN
2	JVNVU#99830150	https://jvn.jp/vu/JVNVU99830150/

変更履歴

No	変更内容	変更日
1	[2020年06月04日] 掲載	2020年6月4日14:22