ScadaBRはSensorweb社が提供するオープンソースの産業用制御システムの監視・制御用ソフトウェアです。JPCERT/CCでは、Sensorweb社が提供するScadaBRに、任意のファイルをアップロードされる問題があることを確認しています。当該製品において、認証されたユーザーによって任意のJSPファイルをアップロードされ、さらに当該JSPファイルにアクセスすることで任意のコードが実行される可能性があります。また、この問題を実証したとみられるコードが公開されていることを確認しています。
下記の製品およびバージョンが、この問題の影響を受ける可能性があります。
- ScadaBR 1.0
- ScadaBR 1.1CE
- ScadaBR 1.0 for Linux
この問題に関して、2021年4月8日時点で、Sensorweb社などから対策や悪用の有無などの情報は提供されていません。今後新たな情報が公開される可能性もあることから、当該製品を使用している場合は最新の状況や詳細について随時確認することを推奨します。
Sensorweb
ScadaBR
https://www.scadabr.com.br/
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告などを含みます。今回の件を含め、ご提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
制御システムセキュリティ対策グループ
Email:icsr@jpcert.or.jp