公開日:2021/09/15 最終更新日:2021/09/15

JVNVU#90520782
Schneider Electric製StruxureWare Data Center Expertにおける複数の脆弱性

概要

Schneider Electric社が提供するStruxureWare Data Center Expertには、複数の脆弱性が存在します。

影響を受けるシステム

  • StruxureWare Data Center Expert 7.8.1およびそれ以前

詳細情報

Schneider Electric社が提供するStruxureWare Data Center Expertには、次の複数の脆弱性が存在します。

  • OS コマンドインジェクション(CWE-78) - CVE-2021-22795
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H 基本値: 9.1
  • パストラバーサル(CWE-22) - CVE-2021-22794
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H 基本値: 9.1

想定される影響

遠隔の特権ユーザによって、任意のコードを実行される可能性があります。

対策方法

ワークアラウンドを実施する
2021年9月15日現在、修正済みのバージョンは提供されていません。
Schneider Electric社によると、StruxureWare Data CenterExpertの新バージョンで修正予定とのことです。
新バージョンでの修正リリースまで、Schneider Electric社のData Center Expert Security Handbookに示されたセキュリティ強化ガイドラインに従ってください。

Schneider Electric社は、次のワークアラウンドの適用を推奨しています。

  • 制御およびセーフティネットワークおよびリモートデバイスをファイアウォールの内側に設置し、ビジネスネットワークから分離する
  • 権限のない人が産業用制御やセーフティシステム、コンポーネント、周辺機器およびネットワークに物理的にアクセスできないようにする
  • すべてのコントローラを鍵付きキャビネットに格納し、「プログラム」モードに設定したまま放置しない
  • ソフトウェアの更新対象となるデバイスがあるネットワークのみにソフトウェア更新をする
  • 分離したネットワーク間でデータをやり取りするためのリムーバブルメディア(CDやUSBドライブなど)はすべて、これらネットワークに接続される端末やノードで利用する前にスキャンする
  • 対象のネットワーク以外に接続しているモバイルデバイスは、適切な対処なしにセーフティおよび制御ネットワークへの接続を許可しない
  • すべての制御システムデバイスおよびシステムのネットワーク露出を最小限に抑え、インターネットからアクセスできないようにする
  • リモートアクセスが必要な場合は、仮想プライベートネットワーク(VPN)などの安全な方法を使用し、VPNは最新版を利用する

ベンダ情報

ベンダ リンク
Schneider Electric SEVD-2021-257-03 StruxureWare Data Center Expert Security Notification(PDF)
Data Center Expert Security Handbook

参考情報

  1. ICS Advisory (ICSA-21-257-03)
    Schneider Electric Struxureware Data Center Expert

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia