概要:AVEVA Process Optimizationに複数の重大な脆弱性
AVEVA社は、Process Optimizationソフトウェア(旧ROMeo)に、合計7つの重大度「Critical」および「High」の脆弱性を開示しました。これらの脆弱性が悪用されると、攻撃者はSYSTEM権限でのリモートコード実行を可能にし、産業用制御システム(ICS)を完全に侵害する恐れがあります。セキュリティ速報は2026年1月13日に公開され、AVEVA Process Optimizationバージョン2024.1およびそれ以前のすべてのバージョンが影響を受けます。
最も深刻なリモートコード実行の脆弱性
最も深刻な脆弱性はCVE-2025-61937として追跡されており、CVSSv4.0スコアで最大の10.0を獲得しています。これは、ソフトウェアのAPIを介した認証不要のリモートコード実行の欠陥であり、ユーザーの操作なしに悪用される可能性があります。この脆弱性が悪用されると、攻撃者は「taoimr」サービス上でSYSTEMレベルの権限を取得し、Model Application Serverを完全に侵害する可能性があります。
その他の重大な脆弱性
今回の開示には、CVSSスコア9.3の「Critical」に分類される3つの追加脆弱性が含まれています。これらは、認証された攻撃者にSYSTEM権限への昇格を許すものです。
- CVE-2025-64691: 標準OSユーザー権限を持つ認証済み攻撃者がTCLマクロスクリプトの改ざんを通じて悪意のあるコードを注入し、SYSTEMレベルの権限に昇格することを可能にします。
- CVE-2025-61943: Captive HistorianコンポーネントにおけるSQLインジェクションで、攻撃者がSQL Server管理権限でコードを実行することを許します。
- CVE-2025-65118: DLLハイジャックの脆弱性を悪用し、Process Optimizationサービスに任意のコードをロードして特権昇格を可能にします。
高レベルの脆弱性
さらに、3つの高レベルの脆弱性が報告されています。
- CVE-2025-64729 (CVSS 8.6): アクセス制御リストの欠如により、プロジェクトファイルの改ざんを通じた特権昇格を可能にします。
- CVE-2025-65117 (CVSS 8.5): 認証されたデザイナーユーザーが悪意のあるOLEオブジェクトをグラフィックに埋め込み、特権昇格を可能にします。
- CVE-2025-64769 (CVSS 7.6): 暗号化されていない伝送チャネルを通じて機密情報が露出し、中間者攻撃の機会を生み出します。
推奨される対策と一時的な防御策
AVEVA社は、これらの特定されたすべての脆弱性を修正するために、AVEVA Process Optimization 2025以降への即時アップグレードを強く推奨しています。
パッチを直ちに適用できない組織に対しては、以下の暫定的な防御策が提案されています。
- ファイアウォールルールを設定し、「taoimr」サービスをポート8888/8889上の信頼できるソースに限定する。
- インストールディレクトリへの書き込みアクセスを制限するアクセス制御リスト(ACL)を設定する。
- プロジェクトファイルに対して厳格なチェーンオブカストディプロトコルを維持する。
脆弱性の発見経緯
これらの脆弱性は、AVEVAが委託した侵入テスト中に、Veracodeのセキュリティ研究者Christopher Wu氏によって発見されました。CISA(米国サイバーセキュリティ・インフラセキュリティ庁)が助言の公開とCVEの割り当ての調整を行いました。
元記事: https://gbhackers.com/critical-aveva-software-flaws-allow-remote-code-execution/