Schneider Electric EcoStruxure Power Build Rapsodyに重大な脆弱性が発見される

Schneider Electric EcoStruxure Power Build Rapsodyの脆弱性が公開

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、Schneider ElectricのEcoStruxure Power Build Rapsodyソフトウェアに存在する重大な脆弱性に関するアドバイザリを公開しました。この脆弱性は、ICSA-26-015-10として追跡されており、産業環境における電気単線結線図の設計や電力管理に使用されるシステムに影響を及ぼします。

主な詳細

• 影響を受ける製品：EcoStruxure Power Build Rapsody（v2.1.13より前の全バージョン）
• 脆弱性の種類：リモートコード実行（RCE）
• 深刻度：高（CVSSスコアは未定。詳細はCSAFアドバイザリを参照）
• 公開日：2026年1月15日
• パッチ提供状況：Schneider Electricは、この問題を緩和するためにバージョン2.1.13をリリースしました

技術的概要

この脆弱性は、ソフトウェアがプロジェクトファイルを処理する際の不適切な入力検証に起因します。攻撃者は、悪意のあるファイルを作成し、ユーザーがこれを開くことで、影響を受けるアプリケーションの権限で任意のコードを実行させる可能性があります。この脆弱性は、EcoStruxure Power Build Rapsodyが電力システムの設計や管理に使用される運用技術（OT）環境において、重大なリスクをもたらします。

CISAは初期アドバイザリにおいて具体的なCVE IDを提供していませんが、CSAF（Common Security Advisory Framework）ドキュメントには、攻撃経路や緩和策を含む完全な技術的詳細が記載されています。

影響分析

• リモートからの悪用：攻撃者は物理的なアクセスなしに影響を受けるシステムを制御し、重要な電力インフラを混乱させる可能性があります。
• 権限昇格：悪用に成功した場合、攻撃者は権限を昇格させ、ネットワーク全体の侵害につながる恐れがあります。
• OT環境へのリスク：このソフトウェアが産業用電力システムで果たす役割を考慮すると、悪用により運用停止、安全上の危険、またはデータ漏洩が発生する可能性があります。

推奨対策

1. 即時のパッチ適用：EcoStruxure Power Build Rapsodyを使用している組織は、バージョン2.1.13へのアップグレードを速やかに行ってください。
2. ファイルの検証：パッチが適用されるまで、信頼できないプロジェクトファイルの開封を制限してください。
3. ネットワークの分離：影響を受けるソフトウェアを実行しているシステムを、より広範なITネットワークから分離し、横方向の移動を制限してください。
4. 監視の強化：アプリケーションに関連する不審な活動について、強化されたログ記録と異常検出を実施してください。
5. CSAFアドバイザリの確認：セキュリティチームは、追加の技術的ガイダンスについて完全なCSAFドキュメントを分析してください。

CISAは、悪用の試みや脆弱性に関する報告を報告ポータルを通じて行うよう、ユーザーおよび管理者に呼びかけています。