独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月6日、CODESYS GmbHが提供する複数のCODESYS Control製品にOSコマンドインジェクションの脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。
Linux OSもしくはQNX OS上で動作するCODESYS Control runtimeには、OSコマンドインジェクション(CVE-2023-6357)の脆弱性が存在する。影響を受けるシステムは次の通り。
・CODESYS Control for BeagleBone SL 4.11.0.0より前のバージョン
・CODESYS Control for emPC-A/iMX6 SL 4.11.0.0より前のバージョン
・CODESYS Control for IOT2000 SL 4.11.0.0より前のバージョン
・CODESYS Control for Linux ARM SL 4.11.0.0より前のバージョン
・CODESYS Control for Linux SL 4.11.0.0より前のバージョン
・CODESYS Control for PFC100 SL 4.11.0.0より前のバージョン
・CODESYS Control for PFC200 SL 4.11.0.0より前のバージョン
・CODESYS Control for PLCnext SL 4.11.0.0より前のバージョン
・CODESYS Control for Raspberry Pi SL 4.11.0.0より前のバージョン
・CODESYS Control for WAGO Touch Panels 600 SL 4.11.0.0より前のバージョン
・CODESYS Runtime Toolkit for Linux or QNX 3.5.19.50より前のバージョン
この脆弱性が悪用されると、当該製品のユーザによって、SysFileやCAA Fileのシステムライブラリを利用され、任意のOSコマンドを実行される可能性がある。
JVNでは開発者が提供する情報をもとに、最新版にアップデートするよう呼びかけている。なお、CODESYS Runtime Toolkitは「CODESYS Runtime Toolkit 3.5.19.50」で脆弱性が修正されている。また、開発者はワークアラウンドの適用も推奨している。
この脆弱性情報は、株式会社ゼロゼロワンの早川宙也氏がJPCERT/CCに報告した。
