公開日:2023/05/10 最終更新日:2023/05/10

JVNVU#92569237
Hitachi Energy製Modular Switchgear Monitoring(MSM)における複数の脆弱性

概要

Hitachi Energyが提供するModular Switchgear Monitoring(MSM)には、複数の脆弱性が存在します。

影響を受けるシステム

  • MSM 2.2.5およびそれ以前のバージョン

詳細情報

Hitachi Energyが提供するMSMには、次の複数の脆弱性が存在します。

  • 過度な認証試行の不適切な制限 (CWE-307) - CVE-2021-43298
  • Capture-replayによる認証回避 (CWE-294) - CVE-2020-15688
  • コードインジェクション (CWE-94) - CVE-2019-16645
  • バッファーエラー (CWE-119) - CVE-2019-12822
  • NULLポインタ参照 (CWE-476) - CVE-2018-15504、CVE-2018-15505
  • エントロピー不足 (CWE-331) - CVE-2021-41615、CVE-2023-23916

想定される影響

脆弱性を悪用された場合、遠隔の第三者によって、次のような影響を受ける可能性があります。

  • 総当たり攻撃 (ブルートフォースアタック) により認証を突破される - CVE-2021-43298
  • Capture-replayを介して認証を回避される - CVE-2020-15688
  • 細工されたリンクを作成され、フィッシング攻撃に利用される - CVE-2019-16645
  • サービス運用妨害 (DoS) 攻撃を受ける - CVE-2019-12822、CVE-2018-15504、CVE-2018-15505、CVE-2023-23916
  • 認証情報が漏えいする - CVE-2021-41615

対策方法

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Hitachi Energy Multiple Open-Source Software Related Vulnerabilities in Hitachi Energy’s MSM Product(PDF)

参考情報

  1. ICS Advisory | ICSA-23-129-02
    Hitachi Energy MSM

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia