公開日:2022/10/17 最終更新日:2022/10/17

JVNVU#98836905
Hitachi Energy製Lumada Asset Performance Management (APM) における複数の脆弱性

概要

Hitachi Energyが提供するLumada Asset Performance Management(以下、Lumada APM)には、複数の脆弱性が存在します。

影響を受けるシステム

  • Lumada APM オンラインサービス(SaaS)バージョン 6.3.220323.0およびそれ以前
  • Lumada APM バージョン 6.0.0.0から6.0.0.4
  • Lumada APM バージョン 6.1.0.0および6.1.0.1
  • Lumada APM バージョン 6.2.0.0から6.2.0.2
  • Lumada APM バージョン 6.3.0.0から6.3.0.2

詳細情報

Hitachi Energyが提供するLumada APM内のPrognostic Model Executorサービスに含まれるSpring Frameworkコンポーネントに、次の複数の脆弱性が存在します。

  • 制限または調整なしのリソースの割り当て (CWE-770) - CVE-2022-22950
  • コードインジェクション (CWE-94) - CVE-2022-22965

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の低権限ユーザによって、Spring式言語を利用して細工されたデータや設定を送信され、サービス運用妨害(DoS)状態を引き起こされる - CVE-2022-22950
  • 遠隔の低権限ユーザによって、細工したデータや設定を送信され、任意のコードを実行される - CVE-2022-22965

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
Lumada APM オンラインサービス(SaaS)は既に対応済みとのことです。

ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Hitachi Energy Spring4Shell and Spring Framework Related Vulnerabilities in Hitachi Energy’s Lumada APM’s Prognostic Model Executor Service(PDF)

参考情報

  1. ICS Advisory (ICSA-22-286-05)
    Hitachi Energy Lumada Asset Performance Management Prognostic Model Executor Service
  2. Japan Vulnerability Notes JVNVU#94675398
    Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性
  3. CVE-2022-22950 | Security | VMware Tanzu
    CVE-2022-22950: Spring Expression DoS Vulnerability
  4. CVE-2022-22965 | Security | VMware Tanzu
    CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia