公開日:2022/11/30 最終更新日:2022/12/01

JVNVU#91847599
複数のHitachi Energy製品における複数の脆弱性

概要

Hitachi Energyが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2022-2513
以下のバージョンのIED Connectivity PackagesおよびPCM600製品が本脆弱性の影響を受けます。

  • PCM600 v2.11およびそれ以前のバージョン(Hotfixを含む)
  • 670 Connectivity Package 3.0から3.4.1までのバージョン
  • 650 Connectivity Package 1.3から2.4.1までのバージョン
  • SAM600-IO Connectivity Package 1.0から1.2までのバージョン
  • GMS600 Connectivity Package 1.3から1.3.1までのバージョン
  • PWC600 Connectivity Package 1.1から1.3までのバージョン
CVE-2022-3388
以下のバージョンのMicroSCADA Pro/X SYS600製品が本脆弱性の影響を受けます。
  • SYS600 10.4およびそれ以前
  • SYS600 9.4 FP2 Hotfix 4およびそれ以前

詳細情報

Hitachi Energyが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 重要な情報の平文保存 (CWE-312) - CVE-2022-2513
  • 不適切な入力確認 (CWE-20) - CVE-2022-3388

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • エクスポートされたバックアップファイルにアクセス可能な第三者によってIEDの認証情報を取得され、不正な構成のロード、IEDの再起動、サービス運用妨害(DoS)攻撃などを行われる - CVE-2022-2513
  • ローカルのユーザによって、管理者レベルのリモートコード実行を行われる - CVE-2022-3388

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Hitachi Energy Cleartext Credentials Vulnerability on Hitachi Energy’s Multiple IED Connectivity Packages (IED ConnPacks) and PCM600 Products CVE-2022-2513(PDF)
Input Validation Vulnerability in Hitachi Energy’s MicroSCADA Pro/X SYS600 Products CVE-2022-3388(PDF)

参考情報

  1. ICS Advisory (ICSA-22-333-02)
    Hitachi Energy IED Connectivity Packages and PCM600 Products
  2. ICS Advisory (ICSA-22-333-03)
    Hitachi Energy MicroSCADA Pro/X SYS600 Products

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/12/01
[想定される影響]の誤記を修正しました