JVNVU#99493025
Schneider Electric製Schneider Electric Software Updateにおけるエントロピー不足の脆弱性

Schneider Electric社が提供するSchneider Electric Software Update（SESU）には、エントロピー不足の脆弱性が存在します。

以下のSchneider Electric Software Updateが影響を受けます。

• Schneider Electric Software Update v2.3.0からv2.5.1

• EcoStruxure Augmented Operator Advisor
• EcoStruxure Control Expert (formerly known as Unity Pro)
• EcoStruxure Process Expert (formerly known as EcoStruxure Hybrid Distributed Control System)
• EcoStruxure Machine Expert (formerly known as SoMachine or SoMachine Motion)
• EcoStruxure Machine Expert Basic
• EcoStruxure Operator Terminal Expert
• EcoStruxure Plant Builder
• EcoStruxure Power Design
• EcoStruxure Automation Expert
• EcoStruxure Automation Maintenance Expert
• Eurotherm Data Reviewer
• Eurotherm iTools
• eXLhoist Configuration Software
• Schneider Electric Floating License Manager
• Schneider Electric License Manager
• Harmony XB5SSoft
• SoMove
• Versatile Software BLUE
• Vijeo Designer
• OsiSense XX Configuration Software
• Zelio Soft 2

Schneider Electric社が提供するSchneider Electric Software Updateには、エントロピー不足の脆弱性（CWE-331、CVE-2021-22799）が存在します。

ローカルのユーザによって、レジストリからSESUプロキシパスワードを復号された場合、内部ネットワークから外部ネットワークへの意図しない接続が行われる可能性があります。

アップデートする
開発者は以下の対応を推奨しています。

• SESUがインストールされている場合は、ダウンロードをクリックしてSESUの新バージョンをインストールする
• SESUがインストールされていない場合は、ベンダ情報よりSESUをダウンロードしてインストール手順に従う

• 制御およびセーフティネットワークおよびリモートデバイスをファイアウォールの内側に設置し、ビジネスネットワークから分離する
• 権限のない人が産業用制御やセーフティシステム、コンポーネント、周辺機器およびネットワークに物理的にアクセスできないようにする
• すべてのコントローラを鍵付きキャビネットに格納し、「プログラム」モードに設定したまま放置しない
• デバイス用のネットワーク以外にプログラミングソフトウェアを接続しない
• 分離したネットワーク間でデータをやり取りするためのリムーバブルメディア（CDやUSBドライブなど）はすべて、これらネットワークに接続される端末やノードで利用する前にスキャンする
• 対象のネットワーク以外に接続しているモバイルデバイスは、適切な対処なしにセーフティおよび制御ネットワークへの接続を許可しない
• すべての制御システムデバイスおよびシステムのネットワーク露出を最小限に抑え、インターネットからアクセスできないようにする
• リモートアクセスが必要な場合は、仮想プライベートネットワーク（VPN）などの安全な方法を使用し、VPNは最新版を利用する