Schneider Electricから、APCブランドとSchneider Electricブランドとの無停電電源装置(UPS: Uninterruptible Power Supply)のモニタリングソフトに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されるとリモートからのコード実行、特権昇格、認証バイパスなどを実施される可能性があるとされており、最終的にデバイスが機能しなくなる危険性があることから注意が必要(参考「Schneider Electric Security Notification - Easy UPS Online Monitoring Software 11 April 2023 (April 19, 2023)」)。
脆弱性の詳細は以下の通り。
- CVE-2023-29411 - CVSS v3.1スコア値9.8で緊急(Critical)のセキュリティ脆弱性。重要な機能に対する認証が欠落しており、リモートから管理者権限でコードを実行される可能性がある
- CVE-2023-29412 - CVSS v3.1スコア値9.8で緊急(Critical)のセキュリティ脆弱性。リモートからコードが実行される可能性がある
- CVE-2023-29413 - CVSS v3.1スコア値7.5で重要(High)なセキュリティ脆弱性。認証されていないユーザーによってサービス運用妨害(DoS: Denial of Service)状態が引き起こされる可能性がある
脆弱性の影響を受けるとされる製品は次のとおり。
- APC Easy UPS Online Monitoring Software V2.5-GA-01-22320およびこれよりも前のバージョン (Windows 10、Windows 11、Windows Server 2016、Windows Server 2019、Windows Server 2022)
- Schneider Electric Easy UPS Online Monitoring Software V2.5-GS-01-22320およびこれよりも前のバージョン (Windows 10、Windows 11、Windows Server 2016、Windows Server 2019、Windows Server 2022)
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- APC Easy UPS Online Monitoring Software V2.5-GA-01-23036 (Windows 10)
- Schneider Electric Easy UPS Online Monitoring Software V2.5-GS-01-23036 (Windows 10)
本稿執筆時点では、Windows 10向け以外の修正プロダクトの提供は行われていない。Schneider ElectricはWindows 11、Windows Server 2016、Windows Server 2019、Windows Server 2022に関するアップデート版を今後リリースするとしており、修正版がリリースされるまでは緩和策を実施するよう呼びかけている。