公開日:2025/03/12 最終更新日:2025/03/12

JVNVU#92006422
Schneider Electric製Uni-Telwayドライバにおける不適切な入力確認の脆弱性

概要

Schneider Electricが提供するUni-Telwayドライバには、不適切な入力確認の脆弱性が存在します。

影響を受けるシステム

  • Uni-Telwayドライバ すべてのバージョン
  • Uni-Telwayドライバ(EcoStruxure Control Expertで使用)すべてのバージョン
  • Uni-Telwayドライバ(EcoStruxure Process Expertで使用)すべてのバージョン
  • Uni-Telwayドライバ(EcoStruxure Process Expert for AVEVA System Platformで使用)すべてのバージョン
  • Uni-Telwayドライバ(OPC Factory Serverで使用)すべてのバージョン
開発者によると、EcoStruxure Control Expert バージョン16.1にはUni-Telwayドライバが含まれていないため、本ドライバをインストールした場合にのみ本脆弱性の影響を受けるとのことです。

詳細情報

Schneider Electricが提供するUni-Telwayドライバには、次の脆弱性が存在します。

  • 不適切な入力確認(CWE-20)
    • CVE-2024-10083

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 認証済みの攻撃者が細工した入力を行い、特定のドライバインターフェースをローカルで呼び出した場合、エンジニアリングワークステーションにおいてサービス運用妨害(DoS)状態を引き起こされる

対策方法

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

Uni-Telwayドライバをアンインストールする
Uni-Telwayドライバを使用していない場合、開発者はUni-Telwayドライバをアンインストールすることを推奨しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Schneider Electric SEVD-2025-042-02 | Uni-Telway driver used in EcoStruxure Control Expert​, EcoStruxure Process Expert, EcoStruxure Process Expert for AVEVA System Platform and OPC Factory Server​​(PDF)
Controlling Application Execution on Computers - Cybersecurity Application Note Controlling Application Execution on Computers - Cybersecurity Application Note
Recommended Cybersecurity Best Practices

参考情報

  1. ICS Advisory | ICSA-25-070-01
    Schneider Electric Uni-Telway Driver

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia