【活用ガイド】

JVNDB-2021-001120

Hitachi ABB Power Grids 製 Ellipse EAM に複数の脆弱性

概要

Hitachi ABB Power Grids 社が提供する Ellipse EAM には、複数の脆弱性が存在します。

Ellipse EAM は Hitachi ABB Power Grids 社 が提供する企業向け資産管理ソフトウェアです。
Ellipse EAM には次の複数の脆弱性が存在します。

 * クロスサイトスクリプティング (CWE-79) - CVE-2021-27416
 * ユーザインターフェースにおける重要情報の誤った表示 (CWE-451) - CVE-2021-27414
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 5.5 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 低
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): 低
※上記は、CVE-2021-27416の評価になります。


CVSS v3 による深刻度
基本値: 5.5 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 低
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): 低
※上記は、CVE-2021-27414の評価になります。
影響を受けるシステム


日立ABBパワーグリッド社
  • Ellipse EAM バージョン 9.0.25 およびそれ以前

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

 * ユーザに悪意のあるコードを含むリンクをクリックさせ、Web ブラウザ上で実行させることで、結果として、遠隔の第三者によって、秘匿情報を漏えいさせられたり、ユーザセッションを乗っ取られたりする - CVE-2021-27416
 * ユーザが当該製品のログインページに模した悪意のある Web サイトにアクセスすることで、ユーザが意図しない動作を引き起こされ、結果として、遠隔の第三者によって、認証情報を窃取される - CVE-2021-27414
対策

[アップデートする]
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

 * Ellipse EAM バージョン 9.0.26

[ワークアラウンドを実施する]
開発者はアップデートに加え、以下の対策の実施を推奨しています。

 * 権限のない人が直接操作できないように、重要なアプリケーションおよびシステムを物理的に保護する
 * 重要なシステムをインターネットに直接接続しない
 * ファイヤーウォールを利用して開放ポート数を最小限に制限し、重要なシステムを他のネットワークから分離する
 * インターネットブラウジング、インスタントメッセージ、電子メールの受信に重要なシステムを使用しない
 * PC とリムーバブルストレージメディアは、制御システムへの接続前にウイルススキャンを行う
ベンダ情報

日立ABBパワーグリッド社
CWEによる脆弱性タイプ一覧  CWEとは?

  1. クロスサイトスクリプティング(CWE-79) [IPA評価]
  2. ユーザインターフェースにおける重要情報の誤った表示(CWE-451) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2021-27414
  2. CVE-2021-27416
参考情報

  1. JVN : JVNVU#96455534
  2. ICS-CERT ADVISORY : ICSA-21-061-01
更新履歴

  • [2021年03月05日]
      掲載