JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は4月14日、「JVNVU#99008843: Advantech 製 WebAccess/SCADA に重要な情報に対するアクセス権の不適切な割り当ての脆弱性」において、ブラウザベースの SCADA ソフトウェアパッケージ「Advantech WebAccess/SCADA」に脆弱性が存在すると伝えた。
Advantech WebAccess/SCADAには重要な情報に対するアクセス権の不適切な割り当ての脆弱性が存在し、この脆弱性を悪用されると、WebAccess/SCADA ポータルに不適切なアクセス権限がデフォルトで設定されていることに起因して、システムにログインしたユーザーによって管理者のパスワードを変更され、管理者としてログインされる危険性があるとされている。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Advantech WebAccess/SCADA Versions 9.0.1およびこれよりも前のバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Advantech WebAccess/SCADA Versions 9.0.3
-
Advantech WebAccessSCADA | CISA
AdvantechはWebAccess/SCADA Versions 9.0.3またはこれよりも後のバージョンへアップデートすることを推奨している。この脆弱性(CVE-2021-22669)はCVSS v3ベーススコアが8.8で深刻度は重要に分類されており注意が必要。該当するプロダクトを使用している場は、推奨されているバージョンへアップデートすることが望まれる。
