AVEVAは2026年1月13日、同社のProcess Optimizationソフトウェアにおける重大および高深刻度の脆弱性7件を開示し、産業用制御システムが完全に侵害される恐れがあることを明らかにしました。
これらの欠陥は2024.1までの全バージョンに影響し、攻撃者は認証なしでSYSTEMレベル権限のリモートコードを実行できます。
最も深刻な欠陥であるCVE-2025-61937は、未認証のAPIベースのリモートコード実行脆弱性により、最大深刻度評価であるCVSSスコア10.0を達成しました。
悪用にユーザー操作は不要で、攻撃者は「taoimr」サービス上でSYSTEM権限を取得し、Model Application Serverを完全に侵害できます。
この攻撃ベクトルは、世界中のオペレーショナルテクノロジー環境に対する、即時かつ実行可能な脅威を示しています。
さらに3件の重大な脆弱性があり、いずれもCVSSスコアは9.3です。CVE-2025-64691は、標準的なOS権限を持つ認証済み攻撃者が悪意のあるTCL Macroスクリプトを注入し、SYSTEMレベルへ権限昇格できるようにします。
CVE-2025-61943はCaptive HistorianコンポーネントのSQLインジェクション脆弱性を悪用し、SQL Serverの管理者権限でコード実行を可能にします。
CVE-2025-65118はDLLハイジャックを利用し、Process Optimizationサービスにおける任意コードの読み込みを通じて権限昇格を達成します。
高深刻度の欠陥3件は二次的な攻撃面を生み出します。CVE-2025-64729(CVSS 8.6)は、アクセス制御リストの欠如によりプロジェクトファイルの改ざんを介した権限昇格を可能にします。
CVE-2025-65117(CVSS 8.5)は、認証済みのデザイナーユーザーがグラフィックに悪意のあるOLEオブジェクトを埋め込み、権限を昇格できるようにします。
CVE-2025-64769(CVSS 7.6)は、暗号化されていないチャネルを通じて機微情報を露出させ、中間者攻撃の機会を生み出します。
AVEVAは、直ちにProcess Optimization 2025以降へアップグレードすることを推奨しています。すぐにパッチを適用できない組織は、暫定的な防御策として、ファイアウォールルールによりポート8888/8889でtaoimrサービスを信頼できる送信元に制限すること、インストールディレクトリへの書き込みアクセスを制限するアクセス制御リストを実装すること、プロジェクトファイルに対して厳格なチェーン・オブ・カストディ手順を維持することを実施すべきです。
これらの脆弱性は、AVEVAが支援するペネトレーションテストの取り組みの中で、Veracodeのセキュリティ研究者Christopher Wuによって発見されました。
CISAは勧告の公開とCVEの割り当てを調整しており、検証済みの深刻度評価であることを示しています。
Process Optimizationを運用している産業組織は、最大深刻度の未認証RCEベクトルと悪用の容易さを踏まえ、24〜48時間以内のパッチ適用を最優先すべきです。
翻訳元: https://cyberpress.org/critical-aveva-software-vulnerabilities/