ページの本文へ

Hitachi

サーバ・クライアント製品セキュリティ情報

UPS製品におけるTLStormの脆弱性(CVE-2022-0715他)について

2022年4月22日 更新

セキュリティ情報ID hitachi-sec-2022-208

1. 脆弱性の内容

シュナイダーエレクトリック社より、TLStorm脆弱性情報が公開されました。
脆弱性の内容については、下記シュナイダーエレクトリック社のホームページを参照願います。

この脆弱性の影響を受ける対象製品,および詳細を次項に示しますので,下記回避策の適用をお願いいたします。

2. 対象製品

製品名 形名 対象CVE 影響を受ける
Version
Smart-UPS SMT GQ-BURA120xNNx / GQ-BURV120xNNx
GQ-BURA150xNNx / GQ-BURV150xNNx
GQ-BUTA075xNNx / GQ-BUTV075xNNx
GQ-BUTA100xNNx / GQ-BUTV100xNNx
GQ-BUTA150xNNx / GQ-BUTV150xNNx 		CVE-2022-0715
*1*2 		現在まで出荷している全てのバージョン
Smart-UPS SMX GQ-BURA300xENx / GQ-BURV300xENx
GQ-BURA300xHNx / GQ-BURV300xHNx
Smart-UPS SRT GQ-BURAJ50HNx / GQ-BURVJ5xHNx
*1
本アナウンスのリンクのいずれかをクリックすると、Hitachi, Ltd.以外のWebサイトが表示されます。Hitachiは、Hitachi外部のWebサイトの情報を管理しておらず、また、それらに関する責任も負いません。
*2
関連する脆弱性CVE-2022-22805 *1およびCVE-2022-22806 *1については、UPSに脆弱性へ影響のある機能(SmartConnectポート)を搭載していないため、インターネット経由での影響はありません。

3. 回避策

UPSに対し、管理者以外が物理的あるいはネットワークマネジメントカード経由で容易にアクセスできないよう、以下回避策の適用をお願いします。

  1. UPSにオプションであるネットワークマネジメントカード(以下、カードと略す)を搭載している場合、カード経由での不正なアクセスによる不正なファームウェアの書き込みを防止するため、カードに接続しているローカル(プライベート)ネットワークへの侵入防止を目的とした、ローカル(プライベート)ネットワークのセキュリティ確認及び見直しの実施。カードへログインするのに使用するデフォルトパスワードの変更および複雑化の実施。
  2. UPSのUSBおよびシリアルポートへの物理的アクセスによる不正なファームウェアの書き込みを防止するため、UPSを設置している部屋へのアクセス管理、またUPSを搭載しているラックなどへの施錠の実施。

4. お問い合わせ先

製品サポート窓口にお問い合わせください。

5. 更新来歴

2022年4月22日 : このセキュリティ情報ページを新規作成および発信しました。

  • * 本ページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。