CVE-2021-32997
概要

The affected Baker Hughes Bentley Nevada products (3500 System 1 6.x, Part No. 3060/00 versions 6.98 and prior, 3500 System 1, Part No. 3071/xx & 3072/xx versions 21.1 HF1 and prior, 3500 Rack Configuration, Part No. 129133-01 versions 6.4 and prior, and 3500/22M Firmware, Part No. 288055-01 versions 5.05 and prior) utilize a weak encryption algorithm for storage and transmission of sensitive data, which may allow an attacker to more easily obtain credentials used for access.

公表日 2022年5月25日23:15
登録日 2022年5月26日10:00
最終更新日 2024年11月21日15:08
CVSS3.1 : HIGH
スコア 7.5
ベクター CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I) なし
可用性への影響(A) なし
CVSS2.0 : MEDIUM
スコア 5.0
ベクター AV:N/AC:L/Au:N/C:P/I:N/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I) なし
可用性への影響(A) なし
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 いいえ
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:o:bakerhughes:bentley_nevada_3500_system_1_6.x_\(3060\/00\)_firmware:*:*:*:*:*:*:*:* 6.98
実行環境
1 cpe:2.3:h:bakerhughes:bentley_nevada_3500_system_1_6.x_\(3060\/00\):-:*:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:o:bakerhughes:bentley_nevada_3500_system_1_\(3072\/xx\)_firmware:*:*:*:*:*:*:*:* 21.1
cpe:2.3:o:bakerhughes:bentley_nevada_3500_system_1_\(3072\/xx\)_firmware:21.1:-:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:bakerhughes:bentley_nevada_3500_system_1_\(3072\/xx\):-:*:*:*:*:*:*:*
構成3 以上 以下 より上 未満
cpe:2.3:o:bakerhughes:bentley_nevada_3500_system_1_\(3071\/xx\)_firmware:*:*:*:*:*:*:*:* 21.1
cpe:2.3:o:bakerhughes:bentley_nevada_3500_system_1_\(3071\/xx\)_firmware:21.1:-:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:bakerhughes:bentley_nevada_3500_system_1_\(3071\/xx\):-:*:*:*:*:*:*:*
構成4 以上 以下 より上 未満
cpe:2.3:o:bakerhughes:bentley_nevada_3500\/22m_\(288055-01\)_firmware:*:*:*:*:*:*:*:* 5.05
実行環境
1 cpe:2.3:h:bakerhughes:bentley_nevada_3500\/22m_\(288055-01\):-:*:*:*:*:*:*:*
構成5 以上 以下 より上 未満
cpe:2.3:o:bakerhughes:bentley_nevada_3500_rack_configuration_\(129133-01\)_firmware:*:*:*:*:*:*:*:* 6.4
実行環境
1 cpe:2.3:h:bakerhughes:bentley_nevada_3500_rack_configuration_\(129133-01\):-:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧

JVN脆弱性情報
Bently Nevada 製 3500 機械保護システムにおける強度が不十分なパスワードハッシュの使用の脆弱性
タイトル Bently Nevada 製 3500 機械保護システムにおける強度が不十分なパスワードハッシュの使用の脆弱性
概要

Bently Nevada 社(Baker Hughes 子会社)が提供する 3500 機械保護システムには、強度が不十分なパスワードハッシュの使用の脆弱性(CWE-916、CVE-2021-32997)が存在します。

想定される影響 当該製品は強度が不十分な暗号化アルゴリズムを使用して機微な情報を保存および転送しているため、遠隔の第三者によって認証情報を容易に窃取される可能性があります。 
対策

[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 開発者は、強化されたパスワードセキュリティの設定機能をサポートした次のバージョンをリリースしています。 3500 機械保護システムにて強化されたパスワードセキュリティを使用すると、Version 21.2 より前のバージョンの System 1 との通信が切断されるとのことです。  * 3500 Rack Configuration Version 6.6  * System 1 Version 21.2 [ワークアラウンドを実施する] 開発者によると、アップデートを適用できない場合には、次の回避策を適用することで、本脆弱性の影響を軽減することが可能とのことです。  * デバイス毎にユニークなパスワードを設定する  * 影響を受ける製品はセキュアなネットワーク上にのみ設置する

公表日 2022年2月25日0:00
登録日 2022年2月28日16:09
最終更新日 2024年6月26日10:35
影響を受けるシステム
Bently Nevada
3500 Rack Configuration Part No. 129133-01 Version 6.4 およびそれ以前 (2020年5月リリース)
3500/22M Firmware Part No. 288055-01 Version 5.05 およびそれ以前 (2021年5月リリース)
System 1 6.x 系 Part No. 3060/00 Version 6.98 およびそれ以前 (2020年12月リリース)
System 1 Part No. 3071/xx 系 Version 21.1 HF1 およびそれ以前 (2021年7月リリース)
System 1 Part No. 3072/xx 系 Version 21.1 HF1 およびそれ以前 (2021年7月リリース)
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2022年02月28日]   掲載 2022年2月28日14:37
2 [2024年06月26日]
  CVSS による深刻度:内容を更新
  参考情報:National Vulnerability Database (NVD) (CVE-2021-32997) を追加
2024年6月26日10:34