CISA 勧告:Hitachi Energy 製品群における OpenSSL/LibSSL/libxml2 などの脆弱性

CISA warns of vulnerabilities in Hitachi Energy products

2021/12/04 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Hitachi Energy の製品に影響を与える脆弱性について、セキュリティ・パッチの提供や通知に関連する、6つの勧告を発表した。

CISA の勧告は、RTU500 シリーズ双方向通信インターフェース/Relion 保護と制御 IED/小売業務・カウンターパーティ決済・請求 (Counterparty Settlement and Billing:CSB) ソフトウェア/トランスフォーマー用の Asset Performance Management (APM) エッジソフトウェア/PCM600 更新マネージャーに関連するものとなる。

これらの勧告では、数十件の脆弱性に対応しており、そのほとんどが、OpenSSL/LibSSL/libxml2/GRUB2 などの製品で使用されている、サードパーティ製のライブラリに関連するものだ。

これらの脆弱性が悪用されると、DoS 攻撃/任意のコード実行/トラフィック盗聴/データへの不正アクセス/信頼できないソフトウェア・パッケージのインストールなどを許してしまう。また、いくつかの脆弱性は、リモート操作により悪用される可能性がある。

同社が発表したアドバイザリの全リストは、同社の Web サイトに掲載されている。なお、これらの脆弱性が悪用されているケースは確認されていない。

これも、頭の痛い、オープンソース・ライブラリの問題ですね。9月に、QNAPSynology が、OpenSSL の問題で深刻な状況になっていました。先日に、「オープンソースからバグを取り除く:重要なのは報奨金とエコシステムだ」という記事をポストしていますが、オープンソースのセキュリティに関しては、業界全体が協力してテコ入れする必要があるのかもしれません。よろしければ、カテゴリ OpenSource も、ご利用ください。

%d bloggers like this: