JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月24日、「JVNVU#93761221: 複数のTrane製品におけるコードインジェクションの脆弱性」において、Traneの複数の製品にコードインジェクションの脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって該当ソフトウェアのコントローラフローが変更される危険性があるとされており注意が必要。
-
JVNVU#93761221: 複数のTrane製品におけるコードインジェクションの脆弱性
脆弱性に関する情報は次のページにまとまっている。
ィ脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Symbio 700(Odyssey Split Systemsを含む)v1.00.0023より前のすべてのバージョン
- Symbio 800(IntelliPak Rooftop Air Conditioner、Chiller Models:CenTraVac Simplex、CentraVac Duplex、ACR、RTAF、CMAF、HDWA.RTWF、CGWF、CXWF、CCUFおよびGVAFを含む)v1.00.0007より前のすべてのバージョン
- Tracer SC v4.4 SP7より前のすべてのバージョン
- Tracer SC+ v5.3 SP3より前のすべてのバージョン
- Tracer Concierge v5.3 SP3より前のすべてのバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Symbio 700 controllers:v1.00.0023およびこれより後のバージョン
- Symbio 800 controllers:v1.00.0007およびこれより後のバージョン
- Tracer SC:v4.4 SP7およびこれより後のバージョン(Tracer SCは2022年12月31日に保守終了となるため、Tracer SC+への移行が推奨されている)
- Tracer SC+:v5.5 SP3およびこれより後のバージョン
- Tracer Concierge:v5.5 SP3およびこれより後のバージョン
修正対象となっている脆弱性の一つは深刻度がCVSSv3で緊急(Critical)に分類されており注意が必要。JPCERT/CCは開発者の提供する情報に基づいてアップデートを適用することを推奨している。
