最近、富士電機がV-SFT製品に対して修正した複数の脆弱性は、攻撃者によって産業組織のシステムへのアクセスに悪用される可能性があります。
富士電機(八光電子工業)のV-SFTは、ヒューマンマシンインターフェース(HMI)用の設定および開発ソフトウェアです。製造業やその他の産業分野の組織は、世界中で広く使用されている富士電機のMonitouchシリーズHMIのユーザーインターフェースを作成・管理するためにこれを使用しています。
サイバーセキュリティ研究者のMichael Heinzl氏は、V-SFTに複数の脆弱性が存在することを発見しました。その中には、情報漏洩やソフトウェアを実行しているシステム上での任意コード実行につながるものも含まれています。
攻撃者は、標的組織のV-SFTユーザーをソーシャルエンジニアリングで騙して悪意のあるプロジェクトファイルを開かせる必要があり、これにより被害者の権限で任意のコードが実行されます。これによってハッカーがシステムを制御できるようになると、Heinzl氏はSecurityWeekに語りました。
Heinzl氏は、各V-SFT脆弱性について自身のアドバイザリを公開しています。
「この問題は、ユーザーが提供したデータの適切な検証が行われていないことに起因しており、割り当てられたデータ構造の終端を越えて読み取ってしまう可能性があります」と研究者は説明しています。
日本の電気機器メーカーである富士電機はパッチ(バージョン6.2.9.0)をリリースしており、日本のJPCERTも最近、組織に脆弱性を知らせるためのアドバイザリを公開しました。
しかし、JPCERTのアドバイザリには潜在的な影響に関する情報がほとんど記載されておらず、富士電機のリリースノートにもセキュリティ修正についての記載は見当たりません。
研究者はSecurityWeekに対し、通知後、ベンダーがパッチをリリースするまでに約4か月かかったと語りました。Heinzl氏が以前発見したV-SFTの脆弱性の修正には、約9か月かかったとのことです。
合計で、Heinzl氏が発見した20件以上のセキュリティホールが、ここ数か月の間に富士電機のHMIプログラマーで修正されました。
