Welker OdorEyes EcoSystemに深刻な認証脆弱性 - 産業システムが危険に晒される

Welker OdorEyes EcoSystemにおける深刻な認証回避の脆弱性（CVE-2026-23456）

マドリード（スペイン） - 2026年2月20日 – INCIBE-CERTは、Welkerの産業用臭気監視プラットフォーム「OdorEyes EcoSystem」に重大な認証脆弱性が存在することを公表しました。この脆弱性はCVE-2026-23456として追跡されており、認証されていない攻撃者が重要なシステム機能にアクセスし、産業オペレーションを危険に晒す可能性があります。

技術的詳細

この脆弱性は、OdorEyes EcoSystemのAPIエンドポイント（/api/critical-function）における認証メカニズムの欠如に起因しています。攻撃者は事前の認証なしにこの脆弱性をリモートから悪用し、以下のような不正アクセスを得ることが可能です：

• リアルタイムセンサーデータ
• 構成設定
• 管理者コントロール

CVSSスコア: 9.8（Critical） | ベクトル: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

この問題は、OdorEyes EcoSystemのv3.2.4より前の全バージョンに影響します。WelkerはINCIBE-CERTと連携し、この脆弱性を修正するパッチを公開しました。

影響分析

この脆弱性は、産業環境に対して以下のような高リスクの脅威をもたらします：

• オペレーションの混乱：不正なセンサー閾値やシステム構成の変更により、誤警報の発生や重要な監視機能の無効化を引き起こす可能性があります。
• データ整合性のリスク：攻撃者が機密性の高い産業データ（独自の臭気分析メトリクスなど）を改ざんまたは持ち出す恐れがあります。
• ラテラルムーブメント：侵害されたシステムが、特にOT/IT統合環境において、ネットワークへのさらなる侵入口となる可能性があります。

推奨対策

INCIBE-CERTは、OdorEyes EcoSystemを使用している組織に対し、以下の対策を強く推奨します：

1. パッチを即時適用：Welkerの公式ポータル経由でv3.2.4以降にアップデートしてください。
2. 脆弱なシステムの隔離：パッチ適用までの間、OdorEyes EcoSystemへのネットワークアクセスを制限し、特に信頼できないネットワークからのアクセスを遮断してください。
3. 不正利用の監視：/api/critical-functionへの不正なリクエストなど、異常なAPIアクティビティがないかログを確認してください。
4. ネットワークのセグメンテーション：ラテラルムーブメントのリスクを最小限に抑えるため、OT/ITの厳格なセグメンテーションを実施してください。

詳細については、INCIBE-CERTのアドバイザリを参照してください。

本脆弱性（CVE-2026-23456）の悪用事例は、現時点ではWelkerから報告されていません。