AVEVAは、同社のProcess Optimizationソフトウェア(旧ROMeo)における重大および高深刻度の脆弱性7件を公表しました。これらは攻撃者がSYSTEM権限でリモートコードを実行し、産業用制御システムを完全に侵害できる可能性があります。
2026年1月13日に公開されたセキュリティ情報は、AVEVA Process Optimization バージョン2024.1およびそれ以前のすべてのバージョンに影響します。
最も深刻な脆弱性はCVE-2025-61937として追跡されており、CVSSv4.0で最大の10.0を獲得しました。これはソフトウェアのAPIを介した、認証不要のリモートコード実行の欠陥です。
悪用にユーザー操作は不要で、攻撃者が「taoimr」サービス上でSYSTEMレベルの権限を取得できる可能性があり、結果としてModel Application Serverの完全な侵害につながり得ます。
複数の攻撃ベクトルを特定
この脆弱性開示には、CVSSスコア9.3の重大な欠陥がさらに3件含まれています。
CVE-2025-64691は、標準のOSユーザー権限を持つ認証済み攻撃者が、TCL Macroスクリプトの改ざんを通じて悪意あるコードを注入し、SYSTEMレベルへ権限昇格できるようにします。
CVE-2025-61943はCaptive HistorianコンポーネントにおけるSQLインジェクションに関するもので、攻撃者がSQL Serverの管理者権限でコードを実行できるようにします。
CVE-2025-65118はDLLハイジャックの脆弱性を悪用し、Process Optimizationサービスにおける任意コードの読み込みを通じて権限昇格を可能にします。
セキュリティ情報には高深刻度の脆弱性が3件含まれています。CVE-2025-64729(CVSS 8.6)は、アクセス制御リストの欠如により、プロジェクトファイルの改ざんを通じた権限昇格を可能にします。
CVE-2025-65117(CVSS 8.5)は、認証済みのデザイナーユーザーが、権限昇格のためにグラフィックスへ悪意あるOLEオブジェクトを埋め込めるようにします。
CVE-2025-64769(CVSS 7.6)は、暗号化されていない送信チャネルを通じて機微情報が露出し、中間者攻撃の機会を生み出します。
| CVE | 脆弱性の種類 | CVSSスコア |
|---|---|---|
| CVE-2025-61937 | API経由のリモートコード実行 | 10.0 重大 |
| CVE-2025-64691 | コード注入(TCL Macro) | 9.3 重大 |
| CVE-2025-61943 | SQLインジェクション | 9.3 重大 |
| CVE-2025-65118 | DLLハイジャック | 9.3 重大 |
| CVE-2025-64729 | 認可の欠如 | 8.6 高 |
| CVE-2025-65117 | 悪意あるOLEオブジェクト | 8.5 高 |
| CVE-2025-64769 | 平文送信 | 7.6 高 |
AVEVAは、特定されたすべての脆弱性を修正するため、AVEVA Process Optimization 2025以降へ直ちにアップグレードすることを推奨しています。
直ちにパッチを適用できない組織は、暫定的な防御策として、ポート8888/8889において信頼できる送信元に対してのみtaoimrサービスを許可するファイアウォールルールの適用、インストールディレクトリへの書き込みアクセスを制限するアクセス制御リスト、ならびにプロジェクトファイルに対する厳格なチェーン・オブ・カストディ(保全管理)手順の維持を実施すべきです。
これらの脆弱性は、AVEVAが支援するペネトレーションテストの取り組みの中で、Veracodeのセキュリティ研究者Christopher Wu氏によって発見されました。CISAは勧告の公開およびCVEの割り当てに関する調整を行いました。
翻訳元: https://gbhackers.com/critical-aveva-software-flaws-allow-remote-code-execution/
