公開日:2025/07/04 最終更新日:2025/07/04

JVNVU#93974687
複数のHitachi Energy製品における複数の脆弱性

概要

Hitachi Energyが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-1718

  • Relion 670/650シリーズ 2.2.6.3およびそれ以前の2.2.6系バージョン
  • Relion 670/650およびSAM600-IOシリーズ 2.2.5.7およびそれ以前の2.2.5系バージョン
  • Relion 670/650シリーズ 2.2.4.5およびそれ以前の2.2.4系バージョン
  • Relion 670シリーズ 2.2.3.7およびそれ以前の2.2.3系バージョン
  • Relion 670シリーズ 2.2.2.6およびそれ以前の2.2.2系バージョン
  • Relion 670/650およびSAM600-IOシリーズ 2.2.1.8およびそれ以前の2.2.1系バージョン
  • Relion 670/650シリーズ 2.2.0.13およびそれ以前の2.2.0系バージョン
  • Relion 670/650シリーズ 2.1系のすべてのバージョン
  • Relion 670シリーズ 2.0系のすべてのバージョン
  • Relion 670/650シリーズ 1系のすべてのバージョン

CVE-2025-39201、CVE-2025-39202、CVE-2025-39204
  • MicroSCADA X SYS600 バージョン10.0から10.6
CVE-2025-39203
  • MicroSCADA X SYS600 バージョン10.5から10.6
CVE-2025-39205
  • MicroSCADA X SYS600 バージョン10.3から10.6

詳細情報

Hitachi Energyが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 例外的状況に対する確認が不十分(CWE-754)
    • CVE-2025-1718
  • インストール時のファイルアクセス権の設定が不適切(CWE-276)
    • CVE-2025-39201
  • 外部から制御可能なファイル名やパス(CWE-73)
    • CVE-2025-39202
  • データの完全性の検証不備(CWE-354)
    • CVE-2025-39203
  • データクエリからの機微な情報の漏えい(CWE-202)
    • CVE-2025-39204
  • 不正な証明書検証(CWE-295)
    • CVE-2025-39205

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 当該製品を再起動される(CVE-2025-1718)
  • ローカルの攻撃者によってシステムファイルを改ざんされ、通知サービスの停止される(CVE-2025-39201)
  • 低権限ユーザーによってファイルを閲覧されたり、上書きされたりする(CVE-2025-39202)
  • 細工したメッセージを送信され、サービス運用妨害(DoS)状態にされる(CVE-2025-39203)
  • Webインターフェースのフィルタリングクエリを改ざんされ、情報を漏えいされる(CVE-2025-39204)
  • 遠隔の攻撃者によって中間者攻撃(man-in-the-middle attack)を実行される(CVE-2025-39205)

対策方法

CVE-2025-1718
アップデートする
開発者は、一部の製品にアップデートを提供しています。
ワークアラウンドを実施する
開発者は、アップデートの提供されていない製品に対して、一般的な緩和策の適用を推奨しています。
詳細は、開発者が提供する情報(8DBD000174)を確認してください。

CVE-2025-39201、CVE-2025-39202、CVE-2025-39203、CVE-2025-39204、CVE-2025-39205
アップデートする
開発者は、アップデートを提供しています。
ワークアラウンドを実施する
開発者は、一般的な緩和策の適用も推奨しています。
詳細は、開発者が提供する情報(8DBD000218)を確認してください。

参考情報

  1. ICS Advisory | ICSA-25-184-01
    Hitachi Energy Relion 670/650 and SAM600-IO Series
  2. ICS Advisory | ICSA-25-184-02
    Hitachi Energy MicroSCADA X SYS600

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia