JVNVU#91840304
複数のHitachi Energy製品における複数の脆弱性

Hitachi Energy社が提供する複数の製品には、複数の脆弱性が存在します。

CVE-2020-36229、CVE-2020-36230

• RTU500 Series CMU Firmware Version 12.4系すべてのバージョン
• RTU500 Series CMU Firmware Version 12.6系すべてのバージョン
• RTU500 Series CMU Firmware Version 12.7系すべてのバージョン
• RTU500 Series CMU Firmware Version 13.0系すべてのバージョン
• RTU500 Series CMU Firmware Version 13.1系すべてのバージョン
• RTU500 Series CMU Firmware Version 13.2.1

• XMC20 R15Aより前のバージョン
• FOX61x R15Aより前のバージョン

Hitachi Energy社が提供する複数の製品には、次の複数の脆弱性が存在します。

• 型の取り違え (CWE-843) - CVE-2020-36229

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

  基本値: 7.5

• 到達可能なアサーション (CWE-617) - CVE-2020-36230

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

  基本値: 7.5

• TCPポート26に関連する脆弱なデフォルトパスワード (CWE-521) - CVE-2021-40333

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:H/A:H

  基本値: 9.0

• ハンドラの欠如 (CWE-431) - CVE-2021-40334

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

  基本値: 8.6

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、サービス運用妨害（DoS）状態にされる - CVE-2020-36229、CVE-2020-36230
• 遠隔の特権ユーザによって、DCNルーティング構成に不正にアクセスされる - CVE-2021-40333
• SSHが有効化されている場合、遠隔の第三者によって、NMSおよびNE通信の中断を引き起こされる - CVE-2021-40334

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者によると、CVE-2020-36229、CVE-2020-36230は、CAM機能が有効化されている場合にのみ影響があるため、CAM機能を使用しない場合は、無効にすることで、影響を回避できるとのことです。なお、CAM機能はデフォルトで無効化されているとのことです。

ワークアラウンドを実施する
開発者は次のワークアラウンドの適用を推奨しています。

• プロセス制御システムに対する担当者以外のアクセスを物理的に防ぐ
• インターネットに直接接続しない
• ファイアウォールで、公開ポートを最小限にして他のネットワークから分離する
• プロセス制御システムをインターネット上のWebサイトの閲覧、インスタントメッセージ、電子メールの受信等に使用しない
• ポータブルコンピュータやリムーバブルメディアはウィルススキャンをかけてから制御システムに接続する