CS397286 - PTC Kepware 製品で特定されたセキュリティの脆弱性 - CVE-2023-3825

アーティクル - CS397286

PTC Kepware 製品で特定されたセキュリティの脆弱性 - CVE-2023-3825

修正日: 26-Jul-2023

注記：ここに記載されている情報は、お客様の利便性向上のため機械翻訳ソフトを使用しています。PTCは、ここに記載されている情報の翻訳の正確性について、一切の責任を負いませんので、ご了承ください。英語の原文を参照するには、こちら。この機械翻訳に関する詳細は、こちら。

お知らせいただき、ありがとうございます。この機械翻訳をレビューします。

結構です

適用対象

ThingWorx Kepware Server 8.0 to 6.14
KEPServerEX 6.0.2107.0 to 6.14

Zero Day Initiative in collaboration with security researcher Claroty published results from PWN2OWN Miami in which Claroty successfully demonstrated a DoS attack on KEPServerEX by performing resource exhaustion
The attack vector leveraged during the event involved the creation of an un-authenticated a bad-acting OPC UA Client
- Standard controls available in the product and outlined in the Secure Deployment guide are sufficient to mitigate this vulnerability
Kepware will be producing a fix for the vulnerability irrespective of authentication that will remediate this vulnerability. This fix will be part of the KEPServerEX version 6.15 release in the second half of 2023

Note that PTC has no indication nor has been made aware that this vulnerability has or is being exploited

説明

Zero Day Initiative は、セキュリティ研究者 Claroty Team82 と協力して、PWN2OWN マイアミでの結果を公開しました。そこでは、Claroty がリソース枯渇を実行して KEPServerEX に対する DoS 攻撃を実証することに成功しました。
- CVSS 3.1 スコア: 7.5 高
- CVSS 3.1 ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- CWE: CWE-400 制御されないリソース消費
KEPServerEX v6.13.250.0 以前は、再帰的に定義されたオブジェクトを読み取られる脆弱性があり、これにより制御されないリソース消費が発生します。
- KEPServerEX は、ネストして複雑な配列を作成できるさまざまなオブジェクトタイプを定義するプロトコルである OPC UA を使用します。
このようなオブジェクトが再帰的に定義されているかどうかを確認するチェックが実装されていないため、攻撃により悪意を持って作成されたメッセージが送信され、スタックがオーバーフローしてデバイスがクラッシュするまでデコーダーがデコードを試みる可能性があります。
一般的な脆弱性と暴露: この脆弱性には CVE-2023-3825 が割り当てられています。
研究者の属性: Claroty Team82

最新バージョンはこちらを参照ください CS397286

知識ベースへのアクセス

ログイン先:

ログインしてください：

アーティクル全文を読む
このトピックの関連コンテンツを探す
全コンテンツソースを検索する (知識ベース、ヘルプセンター、コミュニティのトピックなど)

eSupport へのログイン

ユーザー名（電子メールアドレス）

パスワード

パスワードを忘れた場合

アカウントを新規作成