Hitachi MicroSCADA X SYS600 の5件の脆弱性が FIX:直ちにパッチ適用を!

Hitachi Energy Vulnerabilities Plague SCADA Power Systems

2024/08/28 DarkReading — Hitachi Energy は、同社の MicroSCADA X SYS600 を使用して、電力系統を監視/制御する電力会社に対して、新たにリリースされたバージョンへと直ちにアップグレードし、複数の深刻な脆弱性を緩和するよう求めている。今週に公開された同社のセキュリティ・アドバイザリでは、影響を受ける製品上で、これらの脆弱性が悪用されると、機密性/完全性/可用性に深刻な影響が生じると説明されている。


Hiatchi の MicroSCADA X SYS600 は、ABB の Power Grid 事業を買収した際に取得したシステムである。Hitachi Electric によると、現時点において、この技術は10,000以上の変電所に導入されており、電力網/プロセス産業/データセンター/港湾/病院/鉄道に加えて、少なくとも 30箇所の空港において、電力の管理と監視に使用されているという。

Hiatchi によると、MicroSCADA を使用することで、電力会社は送配電変電所の一次/二次機器のリアルタイムでの監視と制御が可能になるという。Hiatchi は、同製品の主要機能として、妨害波分析および、電力品質監視、手動/自動による制御を挙げている。

致命的な電力障害を避けるために:ただちにパッチを適用すべきだ

Hitachi が公表した脆弱性の、5件のうちの4件は MicroSCADA X SYS600 のバージョン 10.5以下に対して、残りの1件は 10.2〜10.5 に対して影響を及ぼす。Hitachi は、影響を受けるバージョンを使用している顧客に対して、直ちに新しいバージョン 10.6 にアップデートするよう求めている。

同社は、「これらの脆弱性は、Hitachi Energy 社内で検出され、報告されたものである。本アドバイザリ公開時点 (2024/08/27) において、これらの脆弱性の悪用は確認されていない」と述べている。

しかし、電力供給の妨害や劣化を狙う攻撃者にとって、この種の製品は魅力的な標的となり得る。最近では、ロシアの攻撃者がウクライナの電力系統を標的にした攻撃で、広範囲にわたって大規模な停電/混乱が生じるというインシデントが発生しているが、そこには Hitachi の機器を経由した系統も含まれるという。

また、ロシアの Sandworm グループが、侵害した MicroSCADA サーバを介して、変電所のリモート端末ユニットにコマンドを送信することで、ロシアによるミサイル攻撃直前のウクライナで、停電を引き起こしたと推測されるインシデントも発生している。2023年の Dark Reading のコラムで、Hitachi Energy の幹部は、サイバー攻撃者にとってデジタル変電所は、特に興味深いものであると指摘している

MicroSCADA の脆弱性の詳細

Hitachi が公開した、MicroSCADA X SYS600 に存在する5つの脆弱性の CVSS スコアなどは以下のとおりである:

  • CVE-2024-4872 (CVSS:9.9):CWE-88 引数インジェクションの脆弱性
    ユーザークエリを適切に検証しない製品に起因する、SQL インジェクションの脆弱性。
  • CVE-2024-3980 (CVSS:9.9):CWE-88 引数インジェクションの脆弱性
    この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上のシステム・ファイルや、その他の重要なアプリケーション・ファイルへの、アクセスおよび改竄を可能にする。
  • CVE-2024-3982 (CVSS:8.2):CWE-294 キャプチャー・リプレイによる認証バイパスの脆弱性
    セッション・ハイジャックを可能にする、認証バイパスの脆弱性。この脆弱性を悪用する脅威アクターは、攻撃の前提として、脆弱な MicroSCADA X SYS600 のインスタンスがインストールされているマシンにローカル・アクセスし、セッション・ロギングを有効化しておく必要がある。同社は、「デフォルトでは、セッション・ロギング・レベルは有効化されておらず、管理者権限を持つユーザーのみが有効化できる」と述べている。
  • CVE-2024-7940 (CVSS:8.3):CWE-306 認証機能の欠落の脆弱性
    この脆弱性が悪用されると、ローカルのみを対象とした製品のサービスが、認証なしで全てのネットワーク・インターフェースに公開されてしまう。
  • CVE-2024-7941 (CVSS:4.3)CWE-601 信頼できないサイトへ向けたリダイレクションの脆弱性
    Hitachi は、「URL を悪意のサイトに変更することで、攻撃者はフィッシングを成功させ、ユーザーの認証情報を盗み取る」と説明している。

買収した ABB の Power Grid 事業に関連する脆弱性であり、もらい事故的な感じもしますが、エンドユーザーである電力会社にとっては、きわめて懸念されるべき事態となっています。最新のバージョンへの、速やかなアップデートを ご検討ください。よろしければ、カテゴリ Infrastructure も、ご参照ください。