Delta Electronics 電力管理システムに深刻な脆弱性:ICS などにも影響が生じる?

Many Critical Flaws Patched in Delta Electronics Energy Management System

2022/03/24 SecurityWeek — 2021年8月に米国の CISA が、DIAEnergie 製品を使用している組織に通知した8件の脆弱性は、研究者である Michael Heinzl 発見したものであり、その中には Critical と評価されるものも含まれる。その当時に Heinzl は SecurityWeek に対して、これらの脆弱性が悪用されると、悲惨な結果を招く恐れがあり、また、ベンダーからパッチが出されていないと述べていた。

今週になって CISA は、昨年の8月にリリースしたアドバイザリを更新し、Heinzl が発見した DIAEnergie の脆弱性と、Trend Micro Zero Day Initiative (ZDI) を通じて調査結果を報告した、Trend Micro SecurityResearch の Dusan Stevanovic が説明する新しいアドバイザリを公開した。

CISA のアドバイザリによると、DIAEnergie (Industrial Energy Management System) では合計で 30個のセキュリティ・ホールが発見されている。そのうちのいくつかは、2021年9月の Ver1.8 でパッチが適用されているようだ。しかし、それらの大部分は、最近の Ver 1.08.02.004 で修正されたばかりであり、公開はされていないが、Delta Customer Service からオンデマンドで入手できるという。すべてのパッチを取り込んだ、この新しいバージョンの一般公開は、2022年6月30日に予定されていると CISA は述べている。

発見した欠陥ごとに個別のアドバイザリを公開している Heinzl は SecurityWeek に対して、悪用には認証が不要であり、攻撃者が DIAEnergie を制御し、さらには DIAEnergie がディプロイされているシステムを、完全に制御する可能性があると語っている。

DIAEnergie で見つかった 30件の脆弱性のうち、22件は High、5件は Critical と評価されている。新たに公開された問題の大部分は、アプリケーションの各種コンポーネントに影響を及ぼす SQL インジェクションのバグである。

第一弾の脆弱性が公開された後に Heinzl は、「監視データの改ざんや、アラームの抑制などが行われる可能性がある。また、ネットワーク・インフラの最初の足場として、このシステムを利用し、その他のシステムを侵害した後に身代金要求するなど、悪意の行為者の行動の結果は、顧客にとって悲惨なものになりかねない」と警告している。

DIAEnergie は、電気/電力システムの監視において、とりわけ電力消費量の多い機器を可視化/改善できるように設計された、エンタープライズ向けのソリューションである。本製品は、世界中のさまざまな分野で利用されている。電力計/PLC/Modbus デバイスなどの、さまざまな Industrial Control Systems (ICS) やデータシンクとの統合も可能である。

DIAEnergie を検索すると、DIAEnergie Industrial Energy Management System というページが見つかりました。要約すると、エネルギー消費をリアルタイムで監視/分析し、エネルギー消費と負荷特性を計算して、エネルギー効率を最大化するためのソリューションとのことです。また、DIAEnergie + NVD で検索したところ、CVE-2022-26839CVE-2022-25347CVE-2022-0988 などが見つかりました。日付から見ると、この記事の内容と一致しそうな感じです。

%d bloggers like this: