複数のJohnson Controls製品に設定変更やDoSの脆弱性（JVN）

IPAおよびJPCERT/CCは、Johnson Controls, Inc.の提供する「CK721-A Network Controller」および「P2000 Security Management System」に任意のコマンドを実行される脆弱性や、不正なアラートを生成される脆弱性が存在するとJVNで発表した。

脆弱性と脅威セキュリティホール・脆弱性

2012.7.18 Wed 14:59

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は7月17日、Johnson Controls, Inc.の提供する「CK721-A Network Controller」および「P2000 Security Management System」に任意のコマンドを実行される脆弱性や、不正なアラートを生成される脆弱性（CVE-2012-2607）が存在すると「Japan Vulnerability Notes（JVN）」で発表した。

「CK721-A Network Controller」には、ダウンロード用ポート（41014/TCP）で受信したパケットの処理に問題があり、任意のコマンドを実行可能な脆弱性が存在する。この脆弱性が悪用されると、細工されたパケットを受信することでドアの解錠や保護区域への物理的アクセス許可に関わる設定変更などの操作をされる可能性がある。また「P2000 Security Management System」には、ログ保存とアラート通知のためのアップロード用ポート（41013/TCP）で受信したパケットの処理に問題があり、不正なアラートを生成可能な脆弱性が存在する。この脆弱性が悪用されると、細工されたパケットを受信することで不正なアラートが生成され、DoS攻撃を受ける可能性がある。JVNでは、開発者の提供する情報をもとに、システムを更新するよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》