Trusted Design

CVE-2021-22681 の詳細

CVEの情報

説明:
Rockwell Automation Studio 5000 Logix Designer Versions 21 and later, and RSLogix 5000 Versions 16 through 20 use a key to verify Logix controllers are communicating with Rockwell Automation CompactLogix 1768, 1769, 5370, 5380, 5480: ControlLogix 5550, 5560, 5570, 5580; DriveLogix 5560, 5730, 1794-L34; Compact GuardLogix 5370, 5380; GuardLogix 5570, 5580; SoftLogix 5800. Rockwell Automation Studio 5000 Logix Designer Versions 21 and later and RSLogix 5000: Versions 16 through 20 are vulnerable because an unauthenticated attacker could bypass this verification mechanism and authenticate with Rockwell Automation CompactLogix 1768, 1769, 5370, 5380, 5480: ControlLogix 5550, 5560, 5570, 5580; DriveLogix 5560, 5730, 1794-L34; Compact GuardLogix 5370, 5380; GuardLogix 5570, 5580; SoftLogix 5800.

CVE更新日: 2021-03-03 18:15:14.643000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2026-03-05

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.254550000

EPSS更新日: 2026-07-18 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2021-22681は、Rockwell Automation社の産業用制御システム(ICS)製品に影響を与える認証バイパスの脆弱性です。

1. 脆弱性の概要

CVE-2021-22681は、Rockwell Automation Studio 5000 Logix DesignerおよびRSLogix 5000ソフトウェア、ならびに複数のLogixコントローラ製品に影響を与える、深刻な認証バイパスの脆弱性です。この脆弱性は、エンジニアリングソフトウェアとプログラマブルロジックコントローラ(PLC)間の通信を検証するために使用される認証メカニズムに存在します。認証されていないリモート攻撃者は、この検証メカニズムをバイパスし、影響を受けるICSデバイスへの不正な接続を確立する可能性があります。

この脆弱性の根本原因は、コントローラの認証に使用される共有暗号鍵が不十分に保護されていること(CWE-522: Insufficiently Protected Credentials)にあり、攻撃者によってこの鍵がバイパスされる可能性があります。

1.1 影響

  • 認証されていないリモート攻撃者が認証をバイパスし、産業用制御システムに不正アクセスする可能性があります。
  • 成功した場合、攻撃者はPLCロジックを操作し、製造プロセスを混乱させたり、産業機器に物理的な損害を与えたりする可能性があります。
  • 正規のユーザーのアクセスを妨げたり、ワークステーションを含む接続デバイスとの接続を終了させたりする可能性があります。
  • 機密性、完全性、可用性のすべてに高い影響を与える可能性があります。

1.2 深刻度

  • CVSS v3.1スコアは9.8(緊急/Critical)と評価されています。
  • CVSS v2.0スコアは7.5(高/High)と評価されています。
  • このCVEは、CISA(Cybersecurity and Infrastructure Security Agency)の既知の悪用されている脆弱性(KEV)カタログに追加されており、実際に悪用されていることが示されています。

2. 対象となる環境

2.1 影響を受けるソフトウェアバージョン

  • Rockwell Automation Studio 5000 Logix Designer バージョン 21以降
  • Rockwell Automation RSLogix 5000 バージョン 16から20まで
  • FactoryTalk Security (FactoryTalk Services Platformの一部) v2.10以降

2.2 影響を受けるコントローラ製品

  • Rockwell Automation CompactLogix 1768, 1769, 5370, 5380, 5480
  • Rockwell Automation ControlLogix 5550, 5560, 5570, 5580
  • Rockwell Automation DriveLogix 5560, 5730, 1794-L34
  • Rockwell Automation Compact GuardLogix 5370, 5380
  • Rockwell Automation GuardLogix 5570, 5580
  • Rockwell Automation SoftLogix 5800

2.3 影響を受けるOSバージョン

不明

2.4 影響を受ける設定

  • FactoryTalk Securityが構成・展開されている場合、この脆弱性によってその保護をバイパスされる可能性があります。
  • CWE-522(認証情報の不十分な保護)に関連しており、認証情報保護の設定が不十分な環境が影響を受けます。

3. 影響を受けた時の兆候

直接的な兆候についての具体的な記載は見当たりませんが、不正なアクセスによって以下の異常が発生する可能性があります。

  • PLCロジックの意図しない変更
  • 製造プロセスの予期せぬ停止または誤動作
  • 産業機器の物理的な損傷
  • 正規のユーザーがコントローラにアクセスできない

4. 推奨対策

Rockwell Automation社は、この脆弱性に対してパッチによる修正が不可能であることを警告しています。そのため、以下の緩和策の適用が推奨されています。

4.1 本対策

  • CIP Securityの導入: Logix Designerアプリケーション接続にCIP Securityを展開することで、不正な接続を防ぐことができます。
  • Logixコントローラのモードスイッチを「Run」モードに設定: これにより、コントローラの論理の意図しない変更を防ぐことができます。
  • ネットワークアクセス制御の実施:
    • すべての制御デバイスやシステムのネットワークへの接続を最小限に抑え、インターネットから直接アクセスできないようにします。
    • 制御システムネットワークと業務用ネットワークをファイアウォールで分離し、デバイスを保護します。
    • 特に、TCPポート44818へのアクセスを制限します。
  • 物理的セキュリティの強化: 制御デバイスへの物理的なアクセスを制限します。
  • 信頼できるソースからのコードのみをロード: コントローラに信頼できるソースからのコードのみがロードされるように管理します。

4.2 暫定回避策(緩和策)

上記の「本対策」として挙げられた項目が、暫定的な緩和策としても機能します。特に、ネットワークアクセスを制限し、コントローラのモードを「Run」に設定することは、即座に実施可能な回避策として重要です。 また、Rockwell Automation社の「System Security Design Guidelines」などのセキュリティガイドラインに沿った一般的な対策をあわせて適用することが推奨されます。

他に解説すべき観点

  • 攻撃ベクトルと複雑性: この脆弱性の攻撃ベクトルはネットワークベースであり、攻撃者は対象のLogixコントローラへのネットワーク接続が必要です。攻撃の複雑さは低く、特権は不要、ユーザーとの対話も不要と評価されています。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る