# KACO blueplanetインバーターに深刻な脆弱性、エネルギーインフラを脅かす **KACO new energy GmbH**は、世界中の重要なエネルギーインフラに広く展開されている同社の**blueplanet Inverters**に影響を与える重大な脆弱性を開示しました。これらの欠陥は、不正アクセスや権限昇格を可能にする可能性があり、電力網の信頼性に重大なリスクをもたらします。 ## 脆弱性の概要 **Siemens KACO Blueplanet Inverters**で特定された脆弱性には以下が含まれます。 * **CVE-2025-40946**: ハードコードされた暗号化キーの問題。Technical Serviceの認証情報を生成するためのCRC16ベースのアルゴリズムにより、攻撃者はデバイスのシリアル番号から認証情報を導き出し、不正アクセスにつながる可能性があります。 * **CVE-2026-41125**: **KACO Meteor**サーバーにおけるSQL Injectionの脆弱性。これにより、正規の攻撃者がローカルネットワーク上で権限を昇格させることが可能になります。 これらの脆弱性は **CVSS v3 スコア 8.3** を持ち、その深刻度を強調しています。 ## 対象製品 **blueplanet 100 NX3 M8**、**blueplanet 100 TL3 GEN2**、**blueplanet 105 TL3**、**blueplanet 105 TL3 GEN2**、**blueplanet 110 TL3**、**blueplanet 125 NX3 M11**、**blueplanet 125 TL3**、**blueplanet 125 TL3 GEN2**、**blueplanet 137 TL3**、**blueplanet 150 TL3**、**blueplanet 150 TL3 GEN2**、**blueplanet 155 TL3**、**blueplanet 155 TL3 GEN2**、**blueplanet 165 TL3**、**blueplanet 165 TL3 GEN2**、**blueplanet 3.0 NX3-20.0 NX3**、**blueplanet 3.0 TL3-60.0 TL3**、**blueplanet 3.0-5.0 NX1**、**blueplanet 360 NX3 M6**、**blueplanet 50.0 NX3-60.0 NX3**、**blueplanet 87.0 TL3**、**blueplanet 87.0 TL3 GEN2**、**blueplanet 92.0 TL3**、**blueplanet 92.0 TL3 GEN2**、**blueplanet gridsafe 110 TL3-S**、**blueplanet gridsafe 137 TL3-S**、**blueplanet gridsafe 92.0 TL3-S**、**blueplanet hybrid 10.0 TL3**、および **blueplanet hybrid 6.0 NH3-12.0 NH3** シリーズなど、幅広い**KACO blueplanet Inverters**が影響を受けます。 ## 緩和策と推奨事項 **KACO new energy GmbH**は、複数の影響を受ける製品に対して新しいファームウェアバージョンをリリースしており、ユーザーに即時のアップデートを強く推奨しています。修正プログラムがまだ利用できない製品については、対策が準備されています。 **Siemens**および**CISA**は、以下の事項を強く推奨しています。 * **セキュリティアップデートの適用**: 関連するツールと文書化された手順を使用して、提供されたセキュリティアップデートを実装します。事前の検証と、訓練を受けた担当者による監視付きのアップデートが不可欠です。 * **ネットワーク保護**: ファイアウォール、セグメンテーション、VPNなどのメカニズムを使用してネットワークアクセスを保護します。保護されたIT環境の運用ガイドラインに従って環境を構成します。 * **ネットワーク露出の最小化**: 制御システムデバイスがインターネットからアクセスできないことを確認します。制御システムネットワークとリモートデバイスを、ビジネスネットワークから分離されたファイアウォールの背後に配置します。 * **回復力のある保護スキーム**: 重要電力システムの運用者は、電力網に回復力を構築するために、多層冗長二次保護スキームが導入されていることを確認する必要があります。 * **プロアクティブな防御**: 産業用制御システム（ICS）資産のプロアクティブな防御のために推奨されるサイバーセキュリティ戦略を実装します。 ## 謝辞 これらの脆弱性は、**Siemens ProductCERT**から**CISA**へ、また**Reversemode**の**Ruben Santamarta**氏から**Siemens**へ報告されました。 さらなる問い合わせやセキュリティアドバイザリについては、**Siemens ProductCERT**に連絡することができます。