X 閉じる

製品セキュリティレポート

ジョンソンコントロールズは、当社製品における既知の脅威や脆弱性に関する情報の迅速な提供に取り組むとともに、米国国土安全保障省ICS-CERT(Industrial Control Systems Cyber Emergency Response Team)に所属する当社のパートナーと緊密な連携を図り、こうした重要な情報を可能な限り幅広く配信しています。

 

報告された製品レポート 

 

レポート

概要

対象製品

影響

緩和策

 Metasys® ビルオートメーションシステムに関する (BAS) 情報漏洩の危険性

ICS Cert Notice ICSA-18-212-02

CVE-2018-10624

詳細については、上記リンク先のICS CERT Noticeをご参照ください。

 Metasys®ADS/ADXサーバーに対して認証エラーが発生すると、悪意ある攻撃者が侵入方法を解析する可能性がある。  Metasys® システムバージョン 8.0以前  悪意のある攻撃者は、この情報を利用して更なる情報を搾取する可能性があります。

本脆弱性をターゲットにしたエクスプロイトは存在しません。

弊社推奨の構成でお使いいただいていれば、その影響は軽微です。

 この問題を解決するためには、最新の製品バージョンにアップグレードする必要があります。

ジョンソンコントロールズではBASシステムのセキュリティリスクを軽減させる「推奨するシステム構成」をご案内しております。

詳細については、こちらのメールアドレスまでお問い合わせください。

 ICSA-14-350-02 March 17, 2015

セキュリティ研究者であるビリー・リオス氏は、ジョンソンコントロールズのビルオートメーションシステムに存在する2つの脆弱性について指摘しました。

Metasys® releases 4.1 to 6.5: ADS, ADX, LCS8520, NAE, NIE, NxE8500

これらの脆弱性から、不正な遠隔操作によって、METASYS ®のシステムの機密性、整合性、有用性が損なわれるおそれがあります。

ジョンソンコントロールズは、各製品の対象となるバージョン用に脆弱性を緩和するパッチを作成しました。詳細については、こちらのメールアドレスまでお問い合わせください。

ICSの脆弱性とその影響

 

 

CVE-2014-0160 "Heartbleed" April 8, 2014

OpenSSLに存在する脆弱性によって、遠隔操作から機密データを開示される恐れがある

なし

当社は製品を評価し、現時点で影響はないことを確認しています。 最終更新日:2015年8月25日

緩和策は不要

CVE-2014-6271 ICSの脆弱性とその影響

GNUのBash(Bourne-Again Shell)における欠陥によって、シェルコマンドを遠隔操作で実行される恐れがある

なし

当社は製品を評価し、現時点で影響はないことを確認しています。 最終更新日:2015年8月25日

緩和策は不要