NoteImportant
Publié : 1er avril 2016
Merci pour votre fidélité aux produits Pro-face.
Nous avons constaté qu'il y a des problèmes de vulnérabilité dans notre éditeur d'écran, GP-Pro EX.
Nous prenons ces questions au sérieux et avons pris les mesures suivantes.
Nous avons constaté qu'il y a des problèmes de vulnérabilité dans notre éditeur d'écran, GP-Pro EX.
Nous prenons ces questions au sérieux et avons pris les mesures suivantes.
Description des symptômes
En cas de cyberattaque malveillante telle que l'écriture de données ou la falsification de données dans le logiciel, "Freeze" ou "Forced shutdown" peuvent se produire dans nos produits présentés ci-dessous. Mais nous n'avons pas encore entendu de tels symptômes dus à la vulnérabilité dans les enquêtes de nos clients.
Produits applicables
Éditeur d'écran [GP-Pro EX] :
| Modèle produit | EX-ED*, PFXEXEDV*, PFXEXEDLS*, PFXEXGRPLS* |
|---|---|
| Version cible | GP-Pro EX Ver. 1.00.00 à V. 4,04,000 |
| Comment confirmer la version : | [Aide(H)] → [Informations sur la version(A)] |
Mesures
Téléchargez et installez le module de mise à jour suivant.
→ Module de mise à jour GP-Pro EX (version 4.05.000 ou version ultérieure)
Pour télécharger le module, inscrivez-vous gratuitement pour "Otasuke Pro!" est obligatoire.
Nous avons déjà fait rapport à ce sujet à ZDI (Zero Day Initiative) / ICS-CERT *1{. Nous nous occupons de la protection contre les cyberattaques contre l'équipement ou le système de contrôle des utilisateurs.
-> Documents publiés sur le site ZDI http://www.zerodayinitiative.com/advisories/published/
→ Module de mise à jour GP-Pro EX (version 4.05.000 ou version ultérieure)
Pour télécharger le module, inscrivez-vous gratuitement pour "Otasuke Pro!" est obligatoire.
Nous avons déjà fait rapport à ce sujet à ZDI (Zero Day Initiative) / ICS-CERT *1{. Nous nous occupons de la protection contre les cyberattaques contre l'équipement ou le système de contrôle des utilisateurs.
| Détecteur/chercheur | Sommaire | |
|---|---|---|
| ICS-CERT | ZDI | |
| ICS-VU-026229 *2{ | ZDI-16-006 | Vulnérabilité d'exécution de code à distance lors du débordement de tampon de segment de mémoire D Pro-face GP-Pro EX |
| ZDI-16-005 | Vulnérabilité de la divulgation d'informations sur la lecture hors limites de Pro-face GP-Pro EX | |
| ZDI-16-004 | Vulnérabilité de la divulgation d'informations sur la lecture hors limites de Pro-face GP-Pro EX | |
| ZDI-16-003 | Vulnérabilité d'exécution de code à distance lors du débordement de tampon de pile GP-Pro EX Pro-face | |
| ICS-VU-67947 *2{ | Informations d'identification Pro-face GP-Pro EX codées sur le serveur FTP qui permettent d'accéder aux données du projet | |
| Pro-face GP-Pro EX Possible Secondary Authentication Bypass qui permet d'accéder aux données du projet | ||
*1 L' ICS-CERT (Industrial Control System Cyber Response Team) est une institution qui protège les systèmes de contrôle contre les cyberattaques du Département américain de la sécurité intérieure. En coopération avec US-CERT chargé de la sécurité de l'information, ICS-CERT traite les informations de vulnérabilité concernant les systèmes de contrôle et offre une assistance pour les incidents concernant les systèmes de contrôle des infrastructures, des niveaux de vie et des industries de base de la société aux États-Unis.
*2 ICS-CRET : non-divulgation (en cours de vérification)
Réduction
Nous recommandons aux clients de prendre des mesures défensives pour minimiser le risque d'exploitation. Les clients doivent notamment:
- Vérifiez toutes les configurations réseau pour les équipements du système de contrôle.
- Supprimer les PC inutiles des réseaux de systèmes de contrôle
- Suppression des applications inutiles des réseaux de systèmes de contrôle - Minimisez l'exposition du réseau pour tous les équipements du système de contrôle. Les équipements du système de contrôle ne doivent pas être connectés directement à Internet
- Localisez les réseaux et les appareils du système de contrôle derrière les pare-feu. Isolez le système de contrôle du réseau d'entreprise.
- Lorsque l'accès à distance à un système de contrôle est nécessaire, utilisez des méthodes sécurisées, telles que les réseaux privés virtuels (VPN). Cependant, nos clients doivent reconnaître qu'un VPN n'est plus aussi sécurisé que les appareils connectés.
Question
Si vous avez des questions, veuillez nous contacter.
Pour les coordonnées, reportez-vous à la page "Question" .
Pour les coordonnées, reportez-vous à la page "Question" .