| 概要 | The connection establishment algorithm found in Rockwell Automation CompactLogix 5370 and ControlLogix 5570 versions 33 and prior does not sufficiently manage its control flow during execution, creating an infinite loop. This may allow an attacker to send specially crafted CIP packet requests to a controller, which may cause denial-of-service conditions in communications with other products. |
|---|---|
| 公表日 | 2022年7月28日6:15 |
| 登録日 | 2022年7月28日10:00 |
| 最終更新日 | 2024年11月21日14:36 |
| CVSS3.1 : HIGH | |
| スコア | 8.6 |
|---|---|
| ベクター | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更あり |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | 高 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:rockwellautomation:armor_compact_guardlogix_5370_firmware:*:*:*:*:*:*:*:* | 33 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:rockwellautomation:armor_compact_guardlogix_5370:-:*:*:*:*:*:*:* | ||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:rockwellautomation:compact_guardlogix_5370_firmware:*:*:*:*:*:*:*:* | 33 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:rockwellautomation:compact_guardlogix_5370:-:*:*:*:*:*:*:* | ||||
| 構成3 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:rockwellautomation:compactlogix_5370_l1_firmware:*:*:*:*:*:*:*:* | 33 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:rockwellautomation:compactlogix_5370_l1:-:*:*:*:*:*:*:* | ||||
| 構成4 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:rockwellautomation:compactlogix_5370_l2_firmware:*:*:*:*:*:*:*:* | 33 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:rockwellautomation:compactlogix_5370_l2:-:*:*:*:*:*:*:* | ||||
| 構成5 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:rockwellautomation:compactlogix_5370_l3_firmware:*:*:*:*:*:*:*:* | 33 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:rockwellautomation:compactlogix_5370_l3:-:*:*:*:*:*:*:* | ||||
| 構成6 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:rockwellautomation:controllogix_5570_firmware:*:*:*:*:*:*:*:* | 33 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:rockwellautomation:controllogix_5570:-:*:*:*:*:*:*:* | ||||
| 構成7 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:rockwellautomation:guardlogix_5560_firmware:*:*:*:*:*:*:*:* | 33 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:rockwellautomation:guardlogix_5560:-:*:*:*:*:*:*:* | ||||
| 構成8 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:rockwellautomation:guardlogix_5570_firmware:*:*:*:*:*:*:*:* | 33 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:rockwellautomation:guardlogix_5570:-:*:*:*:*:*:*:* | ||||
| 構成9 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:rockwellautomation:guardlogix_5580_firmware:*:*:*:*:*:*:*:* | 33 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:rockwellautomation:guardlogix_5580:-:*:*:*:*:*:*:* | ||||
| タイトル | 複数の Rockwell Automation 製品に不適切な入力確認の脆弱性 |
|---|---|
| 概要 | Rockwell Automation 社が提供する CompactLogix 5370 コントローラおよび ControlLogix 5570 コントローラには、不適切な入力確認の脆弱性 (CWE-20) が存在します。 当該製品の CIP (Common Industrial Protocol) 接続確立アルゴリズム実行中の制御フロー管理に不備があり、無限ループが作成される可能性があります。 |
| 想定される影響 | 遠隔の第三者によって細工された CIP パケットを受信することで、他の製品との通信においてサービス運用妨害 (DoS) 攻撃を受ける可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 |
| 公表日 | 2021年3月4日0:00 |
| 登録日 | 2021年3月5日15:44 |
| 最終更新日 | 2024年6月14日11:43 |
| Rockwell Automation |
| Armor Compact GuardLogix 5370 コントローラ バージョン 33 およびそれ以前 |
| Armor GuardLogix, Safety コントローラ バージョン 33 およびそれ以前 |
| Compact GuardLogix 5370 コントローラ バージョン 33 およびそれ以前 |
| CompactLogix 5370 L1 コントローラ バージョン 33 およびそれ以前 |
| CompactLogix 5370 L2 コントローラ バージョン 33 およびそれ以前 |
| CompactLogix 5370 L3 コントローラ バージョン 33 およびそれ以前 |
| ControlLogix 5570 コントローラ バージョン 33 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2021年03月05日] 掲載 |
2021年3月5日15:44 |
| 2 | [2021年03月25日] ベンダ情報:Rockwell Automation (Rockwell Automation Advisory (要ログイン)) を追加 |
2021年3月25日14:12 |
| 3 | [2024年06月14日] 参考情報:National Vulnerability Database (NVD) (CVE-2020-6998) を追加 |
2024年6月14日11:42 |