公開日:2022/03/23 最終更新日:2022/05/02

JVNVU#99338807
Delta Electronics製DIAEnergieにおける複数の脆弱性

概要

Delta Electronics社が提供するDIAEnergieには、複数の脆弱性が存在します。

影響を受けるシステム

  • DIAEnergie 1.8.02.004より前のバージョン

詳細情報

Delta Electronics社が提供するDIAEnergieには、次の複数の脆弱性が存在します。

  • パストラバーサル (CWE-37) - CVE-2022-25347
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • インストール時の不適切なファイルアクセス権設定 (CWE-276) - CVE-2022-26839
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
  • SQLインジェクション (CWE-89) - CVE-2022-25980、CVE-2022-26069、CVE-2022-27175、CVE-2022-26338、CVE-2022-26059、CVE-2022-26065、CVE-2022-26013、CVE-2022-26836、CVE-2022-0923、CVE-2022-26666、CVE-2022-26887、CVE-2022-26349、CVE-2022-25880、CVE-2022-26514、CVE-2022-26667、CVE-2022-1366、CVE-2022-1367、CVE-2022-1378、CVE-2022-1377、CVE-2022-1376、CVE-2022-1375、CVE-2022-1374、CVE-2022-1372、CVE-2022-1371、CVE-2022-1370、CVE-2022-1369
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • ファイル検索パスの制御不備 (CWE-427) - CVE-2022-1098
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、ファイルシステム上の任意のファイルに書き込みをされる - CVE-2022-25347
  • ユーザによって、本来保護すべきディレクトリにDLLなどの新規ファイルを配置されたり、実行ファイルを置き換えられたりする - CVE-2022-26839
  • 遠隔の第三者によって、任意のSQLクエリを挿入され、データベースの内容の取得および変更、システムコマンドの実行をされる - CVE-2022-25980、CVE-2022-26069、CVE-2022-27175、CVE-2022-26338、CVE-2022-26059、CVE-2022-26065、CVE-2022-26013、CVE-2022-26836、CVE-2022-0923、CVE-2022-26666、CVE-2022-26887、CVE-2022-26349、CVE-2022-25880、CVE-2022-26514、CVE-2022-26667、CVE-2022-1366、CVE-2022-1367、CVE-2022-1378、CVE-2022-1377、CVE-2022-1376、CVE-2022-1375、CVE-2022-1374、CVE-2022-1372、CVE-2022-1371、CVE-2022-1370、CVE-2022-1369
  • ローカルのユーザによって、権限昇格される - CVE-2022-1098

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は次のバージョンで本脆弱性を修正しています。修正バージョンは2022年3月23日段階で一般公開されていないため、ユーザーはDeltaカスタマーサービスまたはDeltaの担当者に連絡し、入手する必要があります。開発者は、2022年6月30日に脆弱性修正やその他の機能を含む一般向けリリースを予定しているとのことです。

  • DIAEnergie 1.8.02.004

ワークアラウンドを実施する
開発者は、以下のワークアラウンドを推奨しています。
  • 制御システムデバイスおよびシステムにインターネットからのアクセスを制限する
  • ファイアウォールで保護している制御システムネットワークおよびリモートデバイスをビジネスネットワークから分離する
  • 「パストラバーサル」および「SQLインジェクション」を悪用する攻撃を検出できるアプリケーションファイアウォールを使用する
  • 対象のデバイス用のネットワーク以外のネットワークにプログラミングソフトウェアを接続しない
  • リモートアクセスが必要な場合、VPNなどの安全な方法を利用する

ベンダ情報

ベンダ リンク
Delta Electronics Contact Us

参考情報

  1. ICS Advisory (ICSA-22-081-01)
    Delta Electronics DIAEnergie

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/03/30
[詳細情報]および[想定される影響]にCVE-2022-1098を追加しました。
2022/05/02
[詳細情報]および[想定される影響]にCVE-2022-1366、CVE-2022-1367、CVE-2022-1378、CVE-2022-1377、CVE-2022-1376、CVE-2022-1375、CVE-2022-1374、CVE-2022-1372、CVE-2022-1371、CVE-2022-1370、CVE-2022-1369を追加しました。
2022/05/02
[詳細情報]、[想定される影響]および[変更履歴]のCVE ID重複を削除しました。