JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は5月12日、「JVNVU#98262671: Advantech 製 WebAccess/HMI Designer に任意コード実行の脆弱性」において、Advantech が提供する Human Machine Interface (HMI) 設計用のソフトウェア「WebAceess/HMI Designer」に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってシステム上で任意のコードが実行されるおそれがあるという。
脆弱性に関する情報は次のページにまとまっている。
- ZDI-21-441 | Zero Day Initiative
- ZDI-21-442 | Zero Day Initiative
- ZDI-21-487 | Zero Day Initiative
- ZDI-21-488 | Zero Day Initiative
- ZDI-21-489 | Zero Day Initiative
- ZDI-21-490 | Zero Day Initiative
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- WebAceess/HMI Designer V2.1.9.81
-
ZDI-21-441 | Zero Day Initiative
今回発表された脆弱性に関しては、2021年5月12日の段階で対策が提供されていない。脆弱性の深刻度はCVSSv3スコアで7.8の重要に分類されており注意が必要。リスクの軽減策が提示されているので、該当するプロダクトを使用している場合は上記のセキュリティアドバイザリを確認して軽減策を適用することが望まれる。
