公開日:2021/03/04 最終更新日:2021/03/04

JVNVU#96455534
Hitachi ABB Power Grids 製 Ellipse EAM に複数の脆弱性

概要

Hitachi ABB Power Grids 社が提供する Ellipse EAM には、複数の脆弱性が存在します。

影響を受けるシステム

  • Ellipse EAM バージョン 9.0.25 およびそれ以前

詳細情報

Ellipse EAM は Hitachi ABB Power Grids 社 が提供する企業向け資産管理ソフトウェアです。
Ellipse EAM には次の複数の脆弱性が存在します。

  • クロスサイトスクリプティング (CWE-79) - CVE-2021-27416
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L 基本値: 5.5
  • ユーザインターフェースにおける重要情報の誤った表示 (CWE-451) - CVE-2021-27414
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L 基本値: 5.5

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • ユーザに悪意のあるコードを含むリンクをクリックさせ、Web ブラウザ上で実行させることで、結果として、遠隔の第三者によって、秘匿情報を漏えいさせられたり、ユーザセッションを乗っ取られたりする - CVE-2021-27416
  • ユーザが当該製品のログインページに模した悪意のある Web サイトにアクセスすることで、ユーザが意図しない動作を引き起こされ、結果として、遠隔の第三者によって、認証情報を窃取される - CVE-2021-27414

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • Ellipse EAM バージョン 9.0.26
ワークアラウンドを実施する
開発者はアップデートに加え、以下の対策の実施を推奨しています。
  • 権限のない人が直接操作できないように、重要なアプリケーションおよびシステムを物理的に保護する
  • 重要なシステムをインターネットに直接接続しない
  • ファイヤーウォールを利用して開放ポート数を最小限に制限し、重要なシステムを他のネットワークから分離する
  • インターネットブラウジング、インスタントメッセージ、電子メールの受信に重要なシステムを使用しない
  •  PC とリムーバブルストレージメディアは、制御システムへの接続前にウイルススキャンを行う

参考情報

  1. ICS Advisory (ICSA-21-061-01)
    Hitachi ABB Power Grids Ellipse EAM

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2021-27414
CVE-2021-27416
JVN iPedia