製品・ソフトウェアに関する情報

JVN脆弱性詳細

IntelliCom NetBiter デバイスにおけるデフォルトパスワードの問題

Title	IntelliCom NetBiter デバイスにおけるデフォルトパスワードの問題
Summary	IntelliCom が提供する NetBiter デバイスに出荷時に設定されているパスワードは、遠隔の第三者に利用される可能性があります。 IntelliCom が提供する NetBiter デバイスは、イーサネットおよび IP ネットワークの設定を行うために HICP プロトコルを利用しています。 NetBiter デバイスに、出荷時に設定されている HICP のパスワードは、製品ドキュメント以外の方法でも入手可能です。
Possible impacts	出荷時のパスワードから変更していない状態で NetBiter デバイスの運用を行っている場合、パスワードを入手した遠隔の第三者によって、ネットワークの設定を変更されたり、パスワードを変更して HICP サービスへのアクセスを妨害されたりする可能性があります。また、HICP は、パスワードを平文で通信するため、通信を傍受している第三者によって、パスワードを盗聴される可能性があります。
Solution	工場出荷時のパスワードを変更すること、および制御システムネットワークへのアクセスを制限してください。
Publication Date	April 7, 2010, midnight
Registration Date	April 27, 2010, 4:10 p.m.
Last Update	April 27, 2010, 4:10 p.m.

Affected System

IntelliCom Innovation AB

Netbiter webSCADA firmware

Netbiter webSCADA WS100

Netbiter webSCADA WS200

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-4463	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4463
National Vulnerability Database (NVD)
2	CVE-2009-4463	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4463

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-255	https://jvndb.jvn.jp/ja/cwe/CWE-255.html

ベンダー情報

No	Name	URL
IntelliCom
1	ISFR-4404-0008	http://support.intellicom.se/getfile.cfm?FID=151&FPID=113

その他

No	Name	URL
JVN
1	JVNVU#902793	http://jvn.jp/cert/JVNVU902793/
OPEN SOURCE VULNERABILITY DATABASE (OSVDB)
2	61506	http://www.osvdb.org/61506
US-CERT Vulnerability Note
3	VU#902793	http://www.kb.cert.org/vuls/id/902793

Change Log

No	Changed Details	Date of change
0	[2010年04月27日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-4463

Summary	Intellicom NetBiter WebSCADA devices use default passwords for the HICP network configuration service, which makes it easier for remote attackers to modify network settings and cause a denial of service. NOTE: this is only a vulnerability when the administrator does not follow recommendations in the product's installation documentation. NOTE: this issue was originally reported to be hard-coded passwords, not default passwords.
Publication Date	Dec. 31, 2009, 5 a.m.
Registration Date	Jan. 29, 2021, 1:27 p.m.
Last Update	Oct. 11, 2018, 4:49 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.11.0:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.11.1:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.11.2:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.12.4:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.12.6:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.13.0:beta::::::
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.13.1:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.13.2:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.20.0:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.30.0:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.30.1:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.30.2:b184::::::
cpe:2.3:h:intellicom:netbiter_webscada_ws100::::::::
cpe:2.3:h:intellicom:netbiter_webscada_ws200::::::::

Related information, measures and tools

No	URL	refsource	タグ
1	http://blog.48bits.com/?p=781	MISC
2	http://reversemode.com/index.php?option=com_content&task=view&id=65&Itemid=1	MISC	Exploit
3	http://support.intellicom.se/getfile.cfm?FID=151	MISC
4	http://www.kb.cert.org/vuls/id/902793	CERT-VN	US Government Resource
5	http://www.osvdb.org/61506	OSVDB
6	http://www.securityfocus.com/archive/1/508449/100/0/threaded	BUGTRAQ

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-255	証明書・パスワード管理	https://cwe.mitre.org/data/definitions/255.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.11.0:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.11.1:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.11.2:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.12.4:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.12.6:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.13.0:beta::::::
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.13.1:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.13.2:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.20.0:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.30.0:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.30.1:::::::*
cpe:2.3:h:intellicom:netbiter_webscada_firmware:3.30.2:b184::::::
cpe:2.3:h:intellicom:netbiter_webscada_ws100::::::::
cpe:2.3:h:intellicom:netbiter_webscada_ws200::::::::