米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月20日(米国時間)、Eatonが提供している無停電電源装置(UPS)向け管理ソフトウェア「Eaton Intelligent Power Manager」に複数の脆弱性が報告されているとして、セキュリティアドバイザリ「ICS Advisory (ICSA-21-110-06): Eaton Intelligent Power Manager」を公開した。これらの脆弱性を悪用されると、攻撃者によって特定の設定の変更や、任意のコードのアップロード、ファイルの削除、任意のコマンドの実行などが行われる危険性がある。

  • ICS Advisory (ICSA-21-110-06): Eaton Intelligent Power Manager

    ICS Advisory (ICSA-21-110-06): Eaton Intelligent Power Manager

今回発行されたセキュリティアドバイザリでは、Intelligent Power Managerの該当するバージョンに、次のような脆弱性が含まれているとされている。

  • CVE-2021-23276: SQLインジェクションの脆弱性によって、攻撃者がデータベースに任意のユーザーを追加できる
  • CVE-2021-23277: evalインジェクションの脆弱性によって、攻撃者が任意の制御コマンドを実行できる
  • CVE-2021-23278: 不適切な入力検証が原因で、攻撃者がシステム上のファイルを削除できる
  • CVE-2021-23279: 不適切な入力検証が原因で、攻撃者がシステム上のファイルを削除できる
  • CVE-2021-23280: ファイルアップロードの制限の不備が原因で、攻撃者が悪意のあるコードをアップロードしたり、特別に細工されたパケットを使用して任意のコマンドを実行できたりする
  • CVE-2021-23281: コードインジェクションの脆弱性によって、攻撃者が任意のコードを実行できる

影響を受ける製品およびバージョンは以下の通りとなっている。

  • Eaton Intelligent Power Manager(IPM)– 1.69より前のすべてのバージョン
  • Eaton Intelligent Power Manager Virtual Appliance(IPM VA)– 1.69より前のすべてのバージョン
  • Eaton Intelligent Power Protector(IPP)– 1.68より前のすべてのバージョン

いずれの製品も開発元より脆弱性を修正した最新バージョンがリリースされており、アップデートすることで問題を解消できる。脆弱性の深刻度を表すCVSS v3のスコアは7.1から8.7となっており、いずれも5段階中2番目に高い「重要(Important)」に分類される。Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対し、上記のセキュリティ情報をチェックした上で必要に応じてアップデートを適用することを推奨している。