産業用制御装置向けデータ管理ソフトに任意のコード実行が可能な脆弱性 迅速な対応を

制御装置とつながるデータ管理ソフトウェアに脆弱性が見つかった。リモートで任意のコード実行ができるなどの問題がある。

[後藤大地，有限会社オングス]

　JPCERT コーディネーションセンター（以下、JPCERT/CC）は2023年4月7日、日立エナジーが提供する産業用制御装置（SCADA）向けデータ管理ソフトウェア「MicroSCADA System Data Manager SDM600」に複数の脆弱（ぜいじゃく）性が存在すると発表した。

Hitachi Energy製MicroSCADA System Data Manager SDM600における複数の脆弱性（出典：JPCERT/CCのWebサイト）

脆弱性の影響範囲、対象、詳細は

　現時点で、この脆弱性を利用されて起こるとされる影響は以下の通りだ。

• ユーザーに細工したメッセージを送信され、任意のコードが実行される
• ユーザーにデータストアから機密データを窃取される
• ローカルの高権限ユーザーに特権昇格が実行される
• 第三者に遠隔から当該製品のWebサービスをビジー状態にされ、アプリケーションを応答不能にされる
• 第三者によって遠隔から当該製品のデータにアクセスされる

　影響を受けるとされる製品およびバージョンは以下の通りだ。

• SDM600 1.3.0（Build Nr. 1.3.0.1339）より前のバージョン（CVE-2022-3685）
• SDM600 1.2 FP3 HF4（Build Nr. 1.2.23000.291）より前のバージョン（上記以外の脆弱性）

　報告されている脆弱性は以下だ。

• CVE-2022-3682 - アップロードするファイルの検証が不十分な脆弱性
• CVE-2022-3683 - 不適切な認可の脆弱性
• CVE-2022-3684 - リソースの不適切なシャットダウンおよびリリースの脆弱性
• CVE-2022-3685 - 不適切な権限管理の脆弱性
• CVE-2022-3686 - 不適切な認可の脆弱性

　提供元の日立エナジーも脆弱性情報を公開しており、修正版も提供している。JPCERT/CCは最新版へのアップデートを推奨している。アップデートが適用できない場合は、一時的に問題を回避するためのワークアラウンドを適用することが推奨される。