公開日:2021/11/11 最終更新日:2021/11/11

JVNVU#98788208
複数のSchneider Electric製品における脆弱性

概要

複数のSchneider Electric製品には、脆弱性が存在します。

影響を受けるシステム

CVE-2021-22810、CVE-2021-22811、CVE-2021-22812、CVE-2021-22813、CVE-2021-22814、CVE-2021-22815

  • NMC2を使用した1-Phase Uninterruptible Power Supply (UPS):NMC2 AOS v6.9.8およびそれ以前
    • Smart-UPS, SymmetraおよびGalaxy 3500 with Network Management Card 2 (NMC2)を含む
  • NMC2を使用した3-Phase Uninterruptible Power Supply (UPS):NMC2 AOS v6.9.6およびそれ以前
    • Symmetra PX 250/500 (SYPX) Network Management Card 2 (NMC2)を含む
  • NMC2を使用した3-Phase Uninterruptible Power Supply (UPS):NMC2 AOS v6.9.6およびそれ以前
    • Symmetra PX 48/96/100/160 kW UPS (PX2), Symmetra PX 20/40 kW UPS (SY3P), Gutor (SXW, GVX)およびGalaxy (GVMTS, GVMSA, GVXTS, GVXSA, G7K, GFC, G9KCHU)を含む
  • NMC3を使用した1-Phase Uninterruptible Power Supply (UPS):NMC3 AOS v1.4.2.1およびそれ以前
    • Smart-UPS, Symmetra, およびGalaxy 3500 with Network Management Card 3 (NMC3)を含む
  • NMC2を使用したAPC Rack Power Distribution Units (PDU):NMC2 AOS v6.9.6およびそれ以前
  • NMC3を使用したAPC Rack Power Distribution Units (PDU):NMC3 AOS v1.4.0およびそれ以前
  • NMC2を使用したAPC 3-Phase Power Distribution Products (PDU):NMC2 AOS v6.9.6およびそれ以前
  • Network Management Card 2 (NMC2) for InfraStruxure 150 kVA PDU with 84 Poles (X84P):NMC2 AOS v6.9.6およびそれ以前
  • Network Management Card 2 for InfraStruxure 40/60kVA PDU (XPDU):NMC2 AOS v6.9.6およびそれ以前
  • Network Management Card 2 for Modular 150/175kVA PDU (XRDP):NMC2 AOS v6.9.6およびそれ以前
  • Network Management Card 2 for 400 and 500 kVA (PMM):NMC2 AOS v6.9.6およびそれ以前
  • Network Management Card 2 for Modular PDU (XRDP2G):NMC2 AOS v6.9.6およびそれ以前
  • Rack Automatic Transfer Switches (ATS):NMC2 AOS v6.9.6およびそれ以前
  • NMC2 (NB250) NetBotz NBRK0250が組み込まれた Environmental Monitoring Unit:NMC2 AOS v6.9.6およびそれ以前
  • Network Management Card 2 (NMC2) Cooling Products:NMC2 AOS v6.9.6およびそれ以前
  • Network Management Card 2 (NMC2) AP9922 Battery Management System (BM4):NMC2 AOS v6.9.6およびそれ以前
CVE-2021-22807、CVE-2021-22808、CVE-2021-22809
  • GUIcon Versions 2.0 (Build 683.003)およびそれ以前

詳細情報

Schneider Electric社が提供する複数の製品には、次の脆弱性が存在します。

  • クロスサイトスクリプティング(CWE-79) - CVE-2021-22810、CVE-2021-22811、CVE-2021-22812、CVE-2021-22813、CVE-2021-22814
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N 基本値: 6.8
  • 情報漏えい(CWE-200) - CVE-2021-22815
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 5.3
  • 境界外書き込み(CWE-787) - CVE-2021-22807
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 解放済みメモリの使用(Use-after-free)(CWE-416) - CVE-2021-22808
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 境界外読み取り(CWE-125) - CVE-2021-22809
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L 基本値: 4.4

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって細工されたURLを特権アカウントでクリックすることで、任意のスクリプトを実行される - CVE-2021-22810、CVE-2021-22812、CVE-2021-22813
  • 遠隔の第三者によって、特権アカウントによる脆弱なWebページへのリクエストを傍受されることで、スクリプトを実行される - CVE-2021-22811
  • 遠隔の第三者によって細工されたファイルを読み取り、表示することで任意のスクリプトを実行される - CVE-2021-22814
  • 遠隔の第三者によって、トラブルシューティングアーカイブにアクセスされる - CVE-2021-22815
  • 第三者によって、細工された* .gd1構成ファイルをGUIconツールにロードすることで、任意のコードが実行される - CVE-2021-22807、CVE-2021-22808、CVE-2021-22809

対策方法

CVE-2021-22810、CVE-2021-22811、CVE-2021-22812、CVE-2021-22813、CVE-2021-22814、CVE-2021-22815
アップデートする

  • NMC2を使用した1-Phase Uninterruptible Power Supply (UPS):NMC2 SUMXおよびSY v7.0.4またはそれ以降
  • NMC2を使用した3-Phase Uninterruptible Power Supply (UPS):NMC2 SYPX v7.0.4またはそれ以降
    • Symmetra PX 250/500 (SYPX) Network Management Card 2 (NMC2)を含む
  • NMC3を使用した1-Phase Uninterruptible Power Supply (UPS):NMC3 SUおよびSY v1.5またはそれ以降
  • NMC2を使用したAPC Rack Power Distribution Units (PDU):NMC2 RPDU2G v7.0.6またはそれ以降
  • NMC2を使用したAPC 3-Phase Power Distribution Products:NMC2 RPP v7.0.4またはそれ以降
  • Network Management Card 2 (NMC2) Cooling Products:cooling applicationsのNMC2 v7.0.4またはそれ以降
2021年11月10日現在、上記に含まれない製品の対策は提供されていません。
Schneider Electric社は修正版を開発中で、修正版が利用可能になり次第リリース予定とのことです。

ワークアラウンドを実施する
Schneider Electric社は、以下のワークアラウンドを推奨しています。
  • 正規のものであると確認が取れていないソースから提供されたリンクを信用しない
  • ブラウザを使用しているワークステーションが保護されていることを確認する
  • debug.tarファイルをWebまたはCLIで生成した場合、取得後に削除する

CVE-2021-22807、CVE-2021-22808、CVE-2021-22809
GUIconは、2020年6月に廃止されサポートを終了しています。

ワークアラウンドを実施する
Schneider Electric社は、以下のワークアラウンドを推奨しています。
  • GUIconツールに* .gd1構成ファイルをロードする前に、ファイルのソースが信頼できることを確認する

ベンダ情報

ベンダ リンク
Schneider Electric SEVD-2021-313-03
SEVD-2021-313-07

参考情報

  1. ICS Advisory (ICSA-21-313-01)
    Schneider Electric NMC cards and Embedded Devices
  2. ICS Advisory (ICSA-21-313-02)
    Schneider Electric GUIcon

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia