公開日:2021/12/01 最終更新日:2021/12/01

JVNVU#97967173
Hitachi Energy製Retail OperationsおよびCSB Softwareに不適切なアクセス制御の脆弱性

概要

Hitachi Energy社が提供するRetail OperationsおよびCounterparty Settlement and Billing(CSB)Softwareには、不適切なアクセス制御の脆弱性が存在します。

影響を受けるシステム

  • Retail Operations Version 5.7.3およびそれ以前のバージョン
  • Counterparty Settlement and Billing(CSB)Version 5.7.3およびそれ以前のバージョン

詳細情報

Hitachi Energy社が提供するRetail OperationsおよびCounterparty Settlement and Billing(CSB)Softwareには、不適切なアクセス制御(CWE-284、CVE-2021-35528)の脆弱性が存在します。

想定される影響

ローカルの特権ユーザによって、許可されていない署名済みJava Applet JARファイルを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した以下のバージョンをリリースしています。

  • Retail Operations v5.7.3.1
  • Counterparty Settlement and Billing(CSB)v5.7.3.1
ワークアラウンドを実施する
開発者は、脆弱性に対する影響を軽減するために以下のワークアラウンドを推奨しています。
  • オペレーティングシステムの堅牢化
  • アプリケーションの外部で発生した認証されていないユーザセッションがないかプロセスログの監視

ベンダ情報

ベンダ リンク
Hitachi Energy Authentication Bypass Vulnerability in Hitachi Energy Retail Operations Product
Authentication Bypass Vulnerability in Hitachi Energy Counterparty Settlement and Billing (CSB) Product

参考情報

  1. ICS Advisory (ICSA-21-334-05)
    Hitachi Energy Retail Operations and CSB Software

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:N
基本値: 7.2
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia