公開日:2023/01/13 最終更新日:2023/01/13

JVNVU#96282319
Hitachi Energy製Lumada APMにおける不適切なアクセス制御の脆弱性

概要

Hitachi Energy社が提供するLumada APMには、不適切なアクセス制御の脆弱性が存在します。

影響を受けるシステム

  • Lumada APM - SaaS バージョン 6.0.0.0から6.4.220601.0までのバージョン
  • Lumada APM - On Premises 6.0.0.0から6.4.0までのバージョン

詳細情報

Hitachi Energy社が提供するLumada APMには、次の脆弱性が存在します。

  • 不適切なアクセス制御 (CWE-284) - CVE-2022-2155

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 低権限ユーザによって、インストール済みPower BIレポートへのアクセスやアセットイシューへのコメントを操作されることで、情報を窃取される

対策方法

アップデートする

  • Lumada APM - SaaS バージョン
    • SaaS環境はバージョン6.5.0.0で修正済みのため、ユーザによる対策は不要とのことです
  • Lumada APM - On Premises
    • 開発者は、影響を受ける製品・バージョンごとにアップデート情報を提供しています
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Hitachi Energy Cybersecurity Advisory - Incomplete Access Control Vulnerability in User Asset Group Feature of Hitachi Energy’s Lumada APM Product(PDF)

参考情報

  1. ICS Advisory (ICSA-23-012-07)
    Hitachi Energy Lumada APM

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia