公開日:2023/04/07 最終更新日:2023/04/07

JVNVU#92170942
Hitachi Energy製MicroSCADA System Data Manager SDM600における複数の脆弱性

概要

Hitachi Energyが提供するMicroSCADA System Data Manager SDM600には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2022-3682、CVE-2022-3683、CVE-2022-3684、CVE-2022-3686

  • SDM600 version 1.2 FP3 HF4 (Build Nr. 1.2.23000.291)より前のバージョン

CVE-2022-3685
  • SDM600 version 1.3.0 (Build Nr. 1.3.0.1339)より前のバージョン

詳細情報

Hitachi Energy社が提供するMicroSCADA System Data Manager SDM600は、産業制御システムのデータ管理のためのソフトウェアです。
MicroSCADA System Data Manager SDM600には、次の複数の脆弱性が存在します。

  • アップロードするファイルの検証が不十分 (CWE-434) - CVE-2022-3682
  • 不適切な認可 (CWE-285) - CVE-2022-3683、CVE-2022-3686
  • リソースの不適切なシャットダウンおよびリリース (CWE-404) - CVE-2022-3684
  • 不適切な権限管理 (CWE-269) - CVE-2022-3685

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • ユーザによって、細工したメッセージを送信され任意のコードを実行される - CVE-2022-3682
  • ユーザによって、データストアから機微なデータを窃取される - CVE-2022-3683
  • 遠隔の第三者によって、当該製品のWebサービスをビジー状態にされ、アプリケーションを応答不能にされる - CVE-2022-3684
  • ローカルの高権限ユーザによって、特権昇格される - CVE-2022-3685
  • 遠隔の第三者によって、当該製品のデータにアクセスされる - CVE-2022-3686

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Hitachi Energy Multiple Vulnerabilities in Hitachi Energy’s MicroSCADA System Data Manager SDM600 Product(PDF)

参考情報

  1. ICS Advisory | ICSA-23-096-05
    Hitachi Energy MicroSCADA System Data Manager SDM600

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia