公開日:2022/04/27 最終更新日:2022/04/27

JVNVU#90035374
Hitachi Energy製System Data Manager(SDM600)における複数の脆弱性

概要

Hitachi Energy社が提供するSystem Data Manager(SDM600)には、複数の脆弱性が存在します。

影響を受けるシステム

  • System Data Manager - SDM600 version 1.2 FP2 HF10 (Build Nr. 1.2.14002.506)より前のバージョン

詳細情報

Hitachi Energy社が提供するSystem Data Manager(SDM600)は、産業制御システムのデータ管理のためのソフトウェアです。
System Data Manager(SDM600)には、次の複数の脆弱性が存在します。

  • セキュリティ関連の処理に対するレスポンスの違いに起因する情報漏えい (CWE-203) - CVE-2020-1968
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 3.7
  • 不適切な再帰制御 (CWE-674) - CVE-2020-12243
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • 意図的に発生可能なアサーション違反 (CWE-617) - CVE-2020-25709、CVE-2020-25710、CVE-2020-36230
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • 型の取り違え (CWE-843) - CVE-2020-36229
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • 整数オーバーフローまたはラップアラウンド (CWE-190) - CVE-2020-23840
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、TLS接続における暗号化された通信を盗聴される - CVE-2020-1968
  • 遠隔の第三者によって、サービス運用妨害(DoS)状態にされる - CVE-2020-12243、CVE-2020-25709、CVE-2020-25710、CVE-2020-36229、CVE-2020-36230
  • 遠隔の第三者によって、アプリケーションが正しく動作しないようにされる - CVE-2020-23840

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
本脆弱性は、System Data Manager - SDM600 version 1.2 FP2 HF10 (Build Nr. 1.2.14002.506)で修正されています。

ベンダ情報

ベンダ リンク
Hitachi Energy MicroSCADA X SDM600
8DBD000074: Multiple Open-Source Software Related Vulnerabilities in Hitachi Energy System Data Manager (SDM600) Product(PDF)

参考情報

  1. ICS Advisory (ICSA-22-116-01)
    Hitachi Energy System Data Manager

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia