JVNVU#95579677
複数のHitachi Energy製品における複数の脆弱性

Hitachi Energyが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2024-4872

• MicroSCADA X SYS600 バージョン 10.0から10.5
• MicroSCADA Pro SYS600 バージョン 9.4 FP2（HF1からHF5）

• MicroSCADA X SYS600 バージョン 10.0から10.5
• MicroSCADA Pro SYS600 バージョン 9.4 FP1およびFP2（HF1からHF5）

• MicroSCADA X SYS600 バージョン 10.0から10.5

• MicroSCADA X SYS600 バージョン 10.2から10.5

• MicroSCADA X SYS600 バージョン 10.5

• RTU500 Scripting Interface すべてのバージョン

Hitachi Energyが提供する複数の製品には、次の複数の脆弱性が存在します。

• データベースクエリの不適切な無害化（CWE-943）－CVE-2024-4872
• パストラバーサル（CWE-22）－CVE-2024-3980
• Capture-replayによる認証回避（CWE-294）－CVE-2024-3982
• 重要な機能に対する認証の欠如（CWE-306）－CVE-2024-7940
• オープンリダイレクト（CWE-601）－CVE-2024-7941
• 不正な証明書検証（CWE-295）－CVE-2023-1514

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 認証されたユーザーによって、永続データにコードを挿入される（CVE-2024-4872）
• システムファイルやその他のアプリケーションにとって重要なファイルにアクセスされたり変更されたりする（CVE-2024-3980）
• ローカルの攻撃者によってセッションロギングを有効にされ、確立されているセッションをハイジャックされる（CVE-2024-3982）
• ローカルのみを対象としたサービスを、認証なしですべてのネットワークインターフェースに公開される（CVE-2024-7940）
• ユーザーが仕組まれたURLにアクセスした場合、認証情報を窃取される（CVE-2024-7941）
• 当該製品の身元を偽装しスクリプトインターフェース経由で開始されたメッセージを傍受され、当該製品のサービスになりすまされる（CVE-2023-1514）

CVE-2024-4872、CVE-2024-3980、CVE-2024-3982、CVE-2024-7940、CVE-2024-7941
アップデートまたはパッチを適用する
開発者は、MicroSCADA X SYS600のアップデートおよびMicroSCADA Pro SYS600のパッチを提供しています。
詳細は、開発者が提供する情報を確認してください。

CVE-2023-1514
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。
なお、以下の製品についてはバージョン1.2.1へのアップデートを実施した上でのワークアラウンドの適用を推奨しています。

• RTU500 Scripting interface バージョン 1.0.1.30
• RTU500 Scripting interface バージョン 1.0.2
• RTU500 Scripting interface バージョン 1.1.1