CYBERSECURITY NOTIFICATION-INDUSTRIAL AUTOMATION
Cyber Security Notification
DOCUMENT ID: 2PAA121230
REVISION: B
DATE: 2020-04-20
SECURITY ABB Central Licensing System Vulnerabilities, impact on System 800xA, Compact HMI and Control Builder Safe (https://search.abb.com/library/Download.aspx?DocumentID=2PAA121230&LanguageCode=en&DocumentPartId=&Action=Launch )
DOCUMENT ID: 2PAA121231
REVISION: B
DATE: 2020-04-21
SECURITY Multiple Vulnerabilities in ABB Central Licensing System
(https://search.abb.com/library/Download.aspx?DocumentID=2PAA121231&LanguageCode=en&DocumentPartId=&Action=Launch)
CVE IDと想定される影響
|
CVE ID
|
想定される影響
|
|
CVE-2020-8481
|
低い権限しか与えられていないユーザによって、ネットワーク経由で機微なデータを読み取りされる。また、コンピュータを完全に制御される
|
|
CVE-2020-8479
|
遠隔の第三者によって、ライセンスサーバやネットワークから任意のファイルを読み取りされる。また、ライセンス認証の処理をブロックされる
|
|
CVE-2020-8475
|
遠隔の第三者によって、ライセンス認証の処理をブロックされる
|
|
CVE-2020-8476
|
遠隔の第三者によって、システムネットワーク内にある正規の端末のライセンス認証が拒否される
|
|
CVE-2020-8471
|
第三者によって、ライセンス認証の処理をブロックされる。また、権限昇格や任意のコードを実行される
|
影響を受ける製品/コンポーネント
ABB Central Licensing System(CLS)バージョン5.1以降。
- ABB CLSはスタンドアロン製品ではなく、他のABB製品の一部としてのみ配布される共通コンポーネントです。次の表は、これらのバージョンのCLSを使用しており、インストールメディアの一部としてCLSを配布しているすべての製品を示しています。
|
脆弱性の影響を受ける製品
|
影響を受けるバージョン
|
CLSバージョン
|
|
ABB Ability System 800xA and related system extensions Versions 5.1, 6.0, 6.1
|
5.1 Rev A
5.1 Rev B
5.1 Rev B
5.1 Rev C
5.1 FP4
5.1 Rev D/FP4 Rev D
6.0
6.0.1
6.0.1
6.0.1
6.0.3
6.0.3
6.0.3
6.0.3
|
5.1.0/1 (5.1.0.38)
5.1.0-2 (5.1.0.53)
5.1.0-2 (5.1.0.55)
5.1.0-3 (5.1.0.65)
5.1.0-4 (5.1.0.70)
5.1.0-5 (5.1.0.84))
6.0.0-0 (6.0.0.26)
6.0.1-0 (6.0.00100.54)
6.0.1-0 (6.0.00100.55)
6.0.1-0 (6.0.00100.57)
6.0.3-0 (6.0.03000.73)
6.0.3-0 (6.0.03000.74)
6.0.3-0 (6.0.03000.84)
6.0.3-0 (6.0.03000.95)
|
|
Control Builder Safe Versions 1.0, 1.1, 2.0
|
2.0
|
6.0.3-0 (6.0.03000.73)
|
|
ABB Ability Symphony Plus – S+ Operations Versions 3.0 to 3.2
|
3.0 to 3.2
|
5.1.0/0 (5.1.0.14)
5.1.0/1 (5.1.0.35)
5.1.0/1 (5.1.0.38)
5.1.0-2 (5.1.0.53)
5.1.0-2 (5.1.0.55)
5.1.0-3 (5.1.0.65)
5.1.0-4 (5.1.0.70)
5.1.0-5 (5.1.0.84)
5.1.0-6 (5.1.0.99)
5.1.0-6 (5.1.0.100)
5.1.0-6 (5.1.0.102)
5.1.0-6 (5.1.0.103)
6.0.0-0 (6.0.0.26)
6.0.1-0 (6.0.00100.54)
6.0.1-0 (6.0.00100.55)
6.0.1-0 (6.0.00100.57)
6.0.3-0 (6.0.03000.73)
6.0.3-0 (6.0.03000.74)
6.0.3-0 (6.0.03000.84)
6.0.3-0 (6.0.03000.95)
6.0.3-0 (6.0.03000.192)
6.1.0-0 (6.1.00000.16)
6.1.0-0 (6.1.00000.18)
6.1.0-0 (6.1.00000.398)
6.1.0-0 (6.1.00100.417)
5.0.0以降のバージョン
|
|
ABB Ability Symphony Plus – S+ Engineering Versions 1.1 to 2.2
|
1.1 to 2.2
|
|
Harmony OPC Server (HAOPC) Standalone Versions 6.0, 6.1, 7.0
|
6.0, 6.1, 7.0
|
脆弱性の発生する条件
①SECURITY ABB Central Licensing System Vulnerabilities, impact on System 800xA, Compact HMI and Control Builder Safe
- CVE-2020-8481 :情報開示の脆弱性:機密データは保護されていないファイルに書き込まれます。認証された攻撃者がこの脆弱性を悪用した場合、コンピュータを完全に制御する可能性があります。または、以下のCVE-2020-8479を使用してネットワーク経由でファイルを読み取ることができます。以下の「影響を受ける製品バージョン」の表にあるように、CVE-2020-8481の影響を受ける製品バージョンは、CVE- 2020-8479。これにより、CVE-2020-8481の重大度がさらに高くなります。
- CVE-2020-8479 :XML外部エンティティインジェクションの脆弱性:攻撃者がこの脆弱性の悪用に成功すると、ライセンスサーバーやネットワークから任意のファイルを読み取ったり呼び出したりすることができ、ライセンス処理もブロックする可能性があります。
②SECURITY Multiple Vulnerabilities in ABB Central Licensing System
- CLSをクライアント/サーバ構成で使用されている場合に「CVE-2020-8479」に影響があります。
|
CVE ID
|
CVSS V3ベーススコア
|
脆弱性
|
CLSクライアント/サーバー構成
|
CLSスタンドアロン構成
|
|
CVE-2020-8481
|
9.8
|
情報開示
|
影響を受ける
|
影響を受ける
|
|
CVE-2020-8479
|
9.3
|
XML外部エンティティインジェクション
|
影響を受ける
|
影響を受けません
|
対策方法
ワークアラウンドを実施する - CVE-2020-8472, CVE-2020-8473, CVE-2020-8474, CVE-2020-8478, CVE-2020-8484, CVE-2020-8485, CVE-2020-8486, CVE-2020-8487, CVE-2020-8488, CVE-2020-8489
- 権限のない人員に知られている疑いがあるユーザアカウントのパスワードを変更する。
- サービスアカウントへの対話型ログオンは、ローカルとリモートの両方を無効にする。
ワークアラウンドを実施する - CVE-2020-8479, CVE-2020-8475, CVE-2020-8476
- IPSec 通信を使用する。
- ファイアウォールを設置し、他のネットワークからクライアントサーバネットワークを分離するサービスアカウントへの対話型ログオンをブロックする。
ワークアラウンドを実施する - CVE-2020-8481, CVE-2020-8471
- 承認されたユーザのみが端末のユーザアカウントにアクセスできるようにする。
- サービスアカウントへの対話型ログオンをブロックする。
サポート
詳細およびサポートについては、製品プロバイダまたは ABBにお問い合わせください。
ABBのサイバーに関する情報及びセキュリティプログラムは、www.abb.com/cybersecurityで参照してください。
注意事項
この文書に記載されている情報は予告なしに変更されることがあり、弊社の保証内容を示すものではありません。 この文書および内容は、弊社の許可なく複製、コピーすること、また、本書の内容を第三者に渡すこと、許可されていない目的で使用することを禁じます。
登録および商標に対するすべての権利は、それぞれの所有者に帰属します。
Copyright © 2020 ABB. All rights reserved.