公開日:2025/04/04 最終更新日:2025/04/04

JVNVU#91850850
Hitachi Energy製RTU500シリーズおよびTRMTrackerにおける複数の脆弱性

概要

Hitachi Energyが提供するRTU500シリーズおよびTRMTrackerには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2024-10037

  • RTU500シリーズ CMUファームウェアバージョン12.0.1から12.0.14
  • RTU500シリーズ CMUファームウェアバージョン12.2.1から12.2.12
  • RTU500シリーズ CMUファームウェアバージョン12.4.1から12.4.11
  • RTU500シリーズ CMUファームウェアバージョン12.6.1から12.6.10
  • RTU500シリーズ CMUファームウェアバージョン12.7.1から12.7.7
  • RTU500シリーズ CMUファームウェアバージョン13.2.1から13.2.7
  • RTU500シリーズ CMUファームウェアバージョン13.4.1から13.4.4
  • RTU500シリーズ CMUファームウェアバージョン13.5.1から13.5.3
  • RTU500シリーズ CMUファームウェアバージョン13.6.1
CVE-2024-11499
  • RTU500シリーズ CMUファームウェアバージョン13.4.1から13.4.4
  • RTU500シリーズ CMUファームウェアバージョン13.5.1から13.5.3
  • RTU500シリーズ CMUファームウェアバージョン13.6.1
  • RTU500シリーズ CMUファームウェアバージョン13.7.1
CVE-2024-12169
  • RTU500シリーズ CMUファームウェアバージョン13.4.1から13.4.4
  • RTU500シリーズ CMUファームウェアバージョン13.5.1から13.5.3
  • RTU500シリーズ CMUファームウェアバージョン13.6.1
  • RTU500シリーズ CMUファームウェアバージョン13.7.1から13.7.4
CVE-2025-1445
  • RTU500シリーズ CMUファームウェアバージョン13.7.1から13.7.4
CVE-2025-27631、CVE-2025-27632、CVE-2025-27633
  • TRMTracker バージョン6.2.04およびそれ以前
  • TRMTracker バージョン6.3.0および6.3.01

詳細情報

Hitachi Energyが提供するRTU500シリーズおよびTRMTrackerには、次の複数の脆弱性が存在します。

  • NULLポインタ参照(CWE-476)
    • CVE-2024-10037、CVE-2024-11499
  • 不十分なリソースプール(CWE-410)
    • CVE-2024-12169
  • 共有リソースへのアクセスに対する同期制御の欠如(CWE-820)
    • CVE-2025-1445
  • LDAP インジェクション(CWE-90)
    • CVE-2025-27631
  • インジェクション(CWE-74)
    • CVE-2025-27632
  • クロスサイトスクリプティング(CWE-79)
    • CVE-2025-27633

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • CMUがサービス運用妨害(DoS)状態にされる(CVE-2024-10037)
  • CMUの再起動を実行される(CVE-2024-11499、CVE-2024-12169)
  • 可用性に影響を受ける(CVE-2025-1445)
  • Webサイト上のデータの読み取りや更新が可能なリモートコマンドを実行される(CVE-2025-27631)
  • Webサイトの改ざんなどをされる(CVE-2025-27632)
  • 機密性および完全性が損なわれる(CVE-2025-27633)

対策方法

CVE-2024-10037、CVE-2024-11499、CVE-2024-12169、CVE-2025-1445
アップデートする
アップデートが提供されている製品は適用してください。提供予定製品は、利用可能になり次第適用してください。
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報を確認してください。

CVE-2024-27631、CVE-2024-27632、CVE-2024-27633
アップデートする
開発者は、アップデートを提供しています。
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報を確認してください。

参考情報

  1. ICS Advisory | ICSA-25-093-01
    Hitachi Energy RTU500 Series
  2. ICS Advisory | ICSA-25-093-02
    Hitachi Energy TRMTracker

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia