公開日:2022/08/31 最終更新日:2022/08/31

JVNVU#95860308
複数のHitachi Energy製品における複数の脆弱性

概要

Hitachi Energyが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2020-1968、CVE-2020-8172、CVE-2020-8174、CVE-2020-8201、CVE-2020-8252、CVE-2020-8265、CVE-2020-8287

  • FACTS Control Platform (FCP)
    • 1.1.0から1.3.0
    • 2.1.0から2.3.0
    • 3.0.0から3.12.0
  • Gateway Station (GWS)
    • 2.0.0.0およびそれ以前
    • 2.1.0.0
    • 2.2.0.0
    • 2.3.0.0
    • 2.4.0.0
    • 3.0.0.0
    • 3.1.0.0
CVE-2015-6584、CVE-2016-7103、CVE-2011-4273、CVE-2018-16842、CVE-2016-9586、VE-2016-8617、CVE-2016-8618、CVE-2016-8619、CVE-2016-8621、CVE-2016-7167、CVE-2014-3707、CVE-2013-2174、CVE-2014-0138
  • MSM バージョン2.2およびそれ以前
CVE-2022-28613
  • RTU500 series CMU ファームウェアバージョン(プロジェクト設定にてHCI Modbus TCPを構成し有効化している場合)
    • 12.0系
    • 12.2系
    • 12.4系
    • 12.6系
    • 12.7系
    • 13.2系

詳細情報

Hitachi Energyが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 脆弱なOSSコンポーネント(OpenSSL、Node.JS)への依存 (CWE-1357)
    • CVE-2020-1968、CVE-2020-8172、CVE-2020-8174、CVE-2020-8201、CVE-2020-8252、CVE-2020-8265、CVE-2020-8287
  • 脆弱なOSSコンポーネント(JQuery、GoAhead Embedded Webserver、Curl)への依存 (CWE-1357)
    • CVE-2015-6584、CVE-2016-7103、CVE-2011-4273、CVE-2018-16842、CVE-2016-9586、VE-2016-8617、CVE-2016-8618、CVE-2016-8619、CVE-2016-8621、CVE-2016-7167、CVE-2014-3707、CVE-2013-2174、CVE-2014-0138
  • 不適切な入力確認 (CWE-20)
    • CVE-2022-28613

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • FACTS Control Platform (FCP)、Gateway Station (GWS)
    • 遠隔の第三者によってネットワーク上の通信を傍受され、不正アクセスされたりサービス運用妨害(DoS)状態にされる
  • MSM
    • 遠隔の第三者が不正なリンクをセッションが有効な正規ユーザに送ることで、機密情報にアクセスされたりサービス運用妨害(DoS)状態にされる
  • RTU500 series CMU
    • 遠隔の第三者が当該製品に細工したModbusパケットを送ることで、再起動される

対策方法

アップデートする
FACTS Control Platform (FCP)、Gateway Station (GWS)、RTU500 series CMU
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
MSM
開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

参考情報

  1. ICS Advisory (ICSA-22-242-01)
    Hitachi Energy FACTS Control Platform (FCP) Product
  2. ICS Advisory (ICSA-22-242-02)
    Hitachi Energy Gateway Station (GWS) Product
  3. ICS Advisory (ICSA-22-242-03)
    Hitachi Energy MSM Product
  4. ICS Advisory (ICSA-22-242-04)
    Hitachi Energy RTU500 series

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia