United States Computer Emergency Readiness Team (US-CERT)は4月6日(米国時間)、「Hitachi ABB Power Grids Multiple Products|CISA」において、日立ABBパワーグリッドが提供している複数の製品に脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によってリモートから定期的にデバイスが再起動され、サービス拒否状態に陥る危険性があるという。
日立ABBパワーグリッドは、スイスに本社を置くABBグループから日立製作所がパワーグリッド事業を買収して設立された会社で、各種エネルギーソリューションとそれに関連した機器の提供を行っている。今回報告された脆弱性は、電力システム向けの保護・制御ソリューションであるRelionシリーズや、リモートターミナルユニットのRTU500シリーズなどの多くの製品に影響するという。影響を受ける各製品の詳細は開発元による次のアドバイザリ(PDFファイル)にまとめられている。
- Cybersecurity Advisory – Specially Crafted IEC 61850 Protocol Sequence Vulnerability in Relion® 670, 650 and SAM600-IO
- Cybersecurity Advisory – Specially Crafted IEC 61850 Protocol Sequence Vulnerability in REB500
- Cybersecurity Advisory – Specially Crafted IEC 61850 Protocol Sequence Vulnerability in RTU500 Series
- Cybersecurity Advisory – Specially Crafted IEC 61850 Protocol Sequence Vulnerability in FOX615 (TEGO1)
- Cybersecurity Advisory – Specially Crafted IEC 61850 Protocol Sequence Vulnerability in MSM
- Cybersecurity Advisory – Specially Crafted IEC 61850 Protocol Sequence Vulnerability in GMS600
- Cybersecurity Advisory – Specially Crafted IEC 61850 Protocol Sequence Vulnerability in PWC600
この脆弱性は、IEC61850ネットワークにアクセスする際の不適切な入力検証が要因とされており、悪意を持った攻撃者が所定の手順を踏むことでリモートからデバイスが強制的に再起動される危険性があるという。再起動フェーズ中はデバイスの主要な機能が使用できなくなるため、結果的にデバイスが動作不能に陥る可能性がある。
アドバイザリによると、この脆弱性はIEC61850インタフェースを備えた製品にのみ影響するという。また、影響を受ける製品をLANポートを介してステーションネットワークに接続していない場合は、この脆弱性を突いた攻撃は物理的に不可能となる。
日立ABBパワーグリッドは、該当する製品に対して脆弱性を修正した最新バージョンの提供を開始しているが、一部の製品についてはまだリリースされていない。修正バージョンのリリース状況は上記のアドバイザリで確認いただきたい。
この脆弱性はCVE-2021-27196として追跡されており、CVSS v3のスコアは7.5で深刻度「重要」に分類されている。Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、開発元によるアドバイザリを確認した上で、必要なアップデートや緩和策を実施することを推奨している。