公開日:2023/05/19 最終更新日:2023/05/19

JVNVU#93694196
Hitachi Energy製MicroSCADA Pro/X SYS600における認可・権限・アクセス制御の脆弱性

概要

Hitachi Energyが提供するMicroSCADA Pro/X SYS600には、認可・権限・アクセス制御の脆弱性が存在します。

影響を受けるシステム

  • SYS600 9.4 FP2 Hotfix 5およびそれ以前のバージョン
  • SYS600 10.1.1およびそれ以前のバージョン

詳細情報

Hitachi Energyが提供するMicroSCADA Pro/X SYS600には、次の脆弱性が存在します。

  • 認可・権限・アクセス制御 (CWE-264) - CVE-2011-1207

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • ローカルの低権限ユーザによって、任意のコードを実行される

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Hitachi Energy Arbitrary code execution Vulnerability in Hitachi Energy’s MicroSCADA Pro/X SYS600 Products(PDF)

参考情報

  1. ICS Advisory | ICSA-23-138-03
    Hitachi Energy’s MicroSCADA Pro/X SYS600 Products

JPCERT/CCからの補足情報

CWE-264はCategory種別であり、CWE Mapping Guidanceでは使用を避けるべき/より具体的なCWEを使うべきとされていますが、本件の詳細は不明なため、開発者自身およびICSAの記述に従ってそのまま記載しています。

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia