公開日:2022/09/08 最終更新日:2022/09/08

JVNVU#91562531
Hitachi Energy製TXpert Hub CoreTec 4における複数の脆弱性

概要

Hitachi Energyが提供するTXpert Hub CoreTec 4には、複数の脆弱性が存在します。

影響を受けるシステム

  • TXpert Hub CoreTec 4 バージョン 2.0.0、2.0.1
  • TXpert Hub CoreTec 4 バージョン 2.1.0、2.1.1、2.1.2、2.1.3
  • TXpert Hub CoreTec 4 バージョン 2.2.0、2.2.1

詳細情報

Hitachi Energyが提供するTXpert Hub CoreTec 4は、デジタル変圧器監視および診断デバイスです。TXpert Hub CoreTec 4には、次の複数の脆弱性が存在します。

  • 代替パスまたはチャネルを使用した認証回避 (CWE-288) - CVE-2021-35530
  • 不適切な入力確認 (CWE-20) - CVE-2021-35531
  • ダウンロードしたコードの完全性検証不備 (CWE-494) - CVE-2021-35532

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • ローカルの高権限ユーザによって、既存ユーザのパスワードを変更され、システムへのアクセス権を窃取される - CVE-2021-35530
  • ローカルのADMINまたはENGINEER権限を持つユーザによって、OSコマンドを挿入、実行される - CVE-2021-35531
  • ローカルの高権限ユーザによって、細工されたファームウェアをアップロードされる - CVE-2021-35532

対策方法

CVE-2021-35530、CVE-2021-35531
アップデートする
開発者は、アップデートを提供しています。

CVE-2021-35532
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

参考情報

  1. ICS Advisory (ICSA-22-249-04)
    Hitachi Energy TXpert Hub CoreTec 4

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia