公開日:2021/03/19 最終更新日:2021/03/19

JVNVU#96655623
Hitachi ABB Power Grids 製 eSOMS に複数の脆弱性

概要

Hitachi ABB Power Grids 社が提供する eSOMS には複数の脆弱性が存在します。

影響を受けるシステム

CVE-2021-26845

  • eSOMS Version 6.0.4.2.2 より前のバージョンの 6.0 系
  • eSOMS Version 6.1.4 より前のバージョンの 6.1 系
  • eSOMS versions 6.3 より前のバージョンの 6.3 系
CVE-2019-19790、CVE-2019-18935、CVE-2017-11357、CVE-2017-11317、CVE-2017-9248、CVE-2014-2217、CVE-2014-4958
  • Telerik ソフトウェアを使用している eSOMS Version 6.3 より前のバージョン

詳細情報

  • 情報漏えい (CWE-200) - CVE-2021-26845
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5
  • パストラバーサル (CWE-22) - CVE-2019-19790
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • 信頼できないデータのデシリアライズ (CWE-502) - CVE-2019-18935
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • 不適切な入力検証 (CWE-20) - CVE-2017-11357
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • 不十分な暗号強度 (CWE-326) - CVE-2017-11317
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • 認証情報の不十分な保護 (CWE-522) - CVE-2017-9248
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • パストラバーサル (CWE-22) - CVE-2014-2217
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値: 7.5
  • パストラバーサル (CWE-22) - CVE-2014-4958
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値: 4.3
上記の内、CVE-2019-19790、CVE-2019-18935、CVE-2017-11357、CVE-2017-11317、CVE-2017-9248、CVE-2014-2217、CVE-2014-4958 は Telerik Web UI で発見された既知の脆弱性によるものです。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受けるおそれがあります。

  • 本来アクセス権限を持たない第三者にレポートへのアクセスで使用されるURLが知られた場合、レポートデータにアクセスされる - CVE-2021-26845
  • 遠隔の第三者により細工されたリクエストを送信され、.BMP.EXIF.GIF.ICON.JPEG.PNG.TIFF.WMF 拡張子を持つ画像ファイルを読み取られる、または削除される - CVE-2019-19790
  • 当該製品の暗号化鍵を入手している遠隔の第三者により、任意のコードを実行される - CVE-2019-18935
  • 遠隔の第三者によって、任意のファイルをアップロードされたり任意のコードを実行されたりする - CVE-2017-11357、CVE-2017-11317
  • 遠隔の第三者によって、MachineKey を取得されたり、任意のファイルのアップロードやダウンロードが行われたり、クロスサイトスクリプティング攻撃が行われたり、ASP.NET ViewState の内容を改ざんされたりする - CVE-2017-9248
  • 遠隔の第三者によって、任意のファイルへの書き込みが行われたり、任意のコードを実行されたりする - CVE-2014-2217
  • 遠隔の第三者によって、任意のスクリプトまたは HTML を挿入される - CVE-2014-4958

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

CVE-2021-26845

  • eSOMS version 6.0.4.2.2
  • eSOMS version 6.1.4
  • eSOMS version 6.3
CVE-2019-19790、CVE-2019-18935、CVE-2017-11357、CVE-2017-11317、CVE-2017-9248、CVE-2014-2217、CVE-2014-4958
  • eSOMS version 6.3

参考情報

  1. ICS Advisory (ICSA-21-077-02)
    Hitachi ABB Power Grids eSOMS
  2. ICS Advisory (ICSA-21-077-03)
    Hitachi ABB Power Grids eSOMS Telerik

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-11357
CVE-2017-9248
CVE-2014-2217
CVE-2014-4958
CVE-2021-26845
CVE-2019-19790
CVE-2019-18935
JVN iPedia