公開日:2025/08/08 最終更新日:2025/08/08

JVNVU#98646422
EG4 Electronics製EG4インバーターにおける複数の脆弱性

概要

EG4 Electronicsが提供するEG4インバーターには、複数の脆弱性が存在します。

影響を受けるシステム

  • EG4 12kPV すべてのバージョン
  • EG4 18kPV すべてのバージョン
  • EG4 Flex 21 すべてのバージョン
  • EG4 Flex 18 すべてのバージョン
  • EG4 6000XP すべてのバージョン
  • EG4 12000XP すべてのバージョン
  • EG4 GridBoss すべてのバージョン

詳細情報

EG4 Electronicsが提供するEG4インバーターには、次の複数の脆弱性が存在します。

  • 重要な情報の平文送信(CWE-319)
    • CVE-2025-52586
  • ダウンロードしたコードの完全性検証不備(CWE-494)
    • CVE-2025-53520
  • セキュリティ関連の処理に対するレスポンスの違いに起因する情報漏えい(CWE-203)
    • CVE-2025-47872
  • 過度な認証試行の不適切な制限(CWE-307)
    • CVE-2025-46414

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • MOD3コマンドの通信が平文で送信されており、電圧、電流、電力設定および運用状況、アラーム、テレメトリ、システムリセットまたはインバーター制御コマンドの読み書き操作を含む重要なデータの傍受、改ざん、再送信、偽造をされ、発電の妨害やインバーター設定の再構成をされる(CVE-2025-52586)
  • ファームウェアに使用されるTTCompアーカイブ形式が暗号化されておらず、検出されずに解凍・改変される(CVE-2025-53520)
  • 異なるシリアル番号の製品登録ステータスに関する情報を取得される(CVE-2025-47872)
  • PINを入力する試行回数が制限されておらず、ブルートフォース攻撃で不正アクセスされる(CVE-2025-46414)

対策方法

開発者は、2025年10月15日までに新しいハードウェアをリリース予定とのことです。
それまでの間は、開発者がすべてのインストール済みシステムを積極的に監視し、異常が確認された場合には、影響を受けるユーザーと個別に対応を進めると述べています。
なお、CVE-2025-46414については、2025年4月6日に修正されているため、ユーザーによる対応は不要です。

詳細は、開発者にお問い合わせください。

ベンダ情報

ベンダ リンク
EG4 Electronics Contact EG4

参考情報

  1. ICS Advisory | ICSA-25-219-07
    EG4 Electronics EG4 Inverters

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia