SUBNET PowerSYSTEM Centerの脆弱性を修正するアップデートが公開、最新版への更新を

text: XEXEQ編集部

SUBNET PowerSYSTEM Centerの脆弱性に関する記事の要約

PowerSYSTEM Centerに信頼できないサードパーティコンポーネントへの依存の脆弱性が存在
脆弱性を悪用されると権限昇格やDoS攻撃、任意コード実行などの被害が想定される
開発者はアップデートを提供しており、ユーザーは最新版へのアップデートが推奨される
脆弱性の識別番号はCVE-2024-28042で、CWE-1357に分類される

更新プログラムの適用でSUBNET製品の脆弱性が解消

SUBNET Solutions社が提供するPowerSYSTEM Centerに、信頼できないサードパーティコンポーネントへの依存に起因する脆弱性が発見された。この脆弱性は「CVE-2024-28042」として識別されており、CWE-1357に分類される脆弱性だ。^[1]

PowerSYSTEM CenterのUpdate 19以前のバージョンに影響があり、悪用された場合は権限昇格やDoS攻撃、任意コードの実行などの被害が生じる可能性がある。SUBNET Solutions社は、脆弱性を修正した更新プログラムを提供しており、ユーザーは速やかに最新版へアップデートすることが推奨される。

PowerSYSTEM Centerは電力系統の監視・制御に用いられる重要なシステムだ。脆弱性を放置することはサイバー攻撃のリスクを高め、電力インフラの安定運用を脅かしかねない。Update 20の適用により脅威は解消されるため、管理者は対応を急ぐ必要がある。

考察

PowerSYSTEM Centerのような重要インフラ向けシステムの脆弱性は、国家レベルの脅威となり得る。電力網を麻痺させるだけでなく他のインフラへの二次被害も想定されるため、迅速なパッチ適用が求められる。一方で運用中のシステムへの更新作業はダウンタイムを伴うため、サービスへの影響を最小限に抑えつつセキュリティを担保するには、綿密な計画と高度な技術力が必要とされる。脆弱性対策は企業の信頼を左右する重要な課題であり、ベンダーとユーザーの密接な連携が欠かせない。

また本件は、サードパーティ製品の安全性検証の重要性を改めて浮き彫りにした。OSSを含め外部の部品を活用することで開発の効率化が図られる一方、検証を怠ればかえってリスクを高める結果となる。組み込む前の製品選定はもちろん、導入後も継続的な監視とタイムリーなアップデートが重要だ。自社に閉じた検証体制の整備や、業界レベルでの情報共有・協調など、ソフトウェアサプライチェーンのセキュリティ強化に向けた取り組みが一層求められることだろう。

参考サイト

^ JVN. 「JVNVU#98066708: SUBNET Solutions製PowerSYSTEM Centerにおける信頼できないサードパーティコンポーネントへの依存の脆弱性」. https://jvn.jp/vu/JVNVU98066708/index.html, (参照 24-05-28).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。