[2025.02 脆弱性レポート] デルタ電子 DIAEnergie SQL インジェクション(CVE-2024-4547) | Cloud-Based Platform AIONCLOUD

Threat Intelligence Report

Get up-to-date information on web application vulnerabilities, attacks, and how to respond.

Back to Threat Intelligence Report

[2025.02 脆弱性レポート] デルタ電子 DIAEnergie SQL インジェクション(CVE-2024-4547)

CVE-2024-4547 は、SQL インジェクションの脆弱性で、Delta Electronics 社の DIAEnergie v1.10.1.8610 およびそれ以前のバージョンに影響します。この問題は、'~' 文字で区切られた 4 つのフィールドを含む 'RecalculateScript' メッセージを処理する CEBC.exe コンポーネントにあります。認証されていないリモートの攻撃者は、4番目のフィールドを操作して悪意のあるSQL文を注入することで、この脆弱性を悪用し、機密データへの不正アクセスや任意のコードの実行につながる可能性があります。

当社AIWAF製品では、本脆弱性のようなコンポーネントを利用して発生する脆弱性を継続的に監視しており、今後、関連する脆弱性が発見された場合には、速やかに対応してまいります。

1. 概要

CVE-2024-4547 は、Delta Electronics 社の DIAEnergie ソフトウェアバージョン 1.10.1.8610 およびそれ以前に見つかった SQL インジェクションの脆弱性です。この脆弱性は、CEBC.exe プロセスが 'RecalculateScript' メッセージを処理する際に発生し、攻撃者が悪意のある SQL クエリを注入してデータベースに不正アクセスできる可能性があります。

image.png

2. 攻撃タイプ

CEBC.exeはTCPポート928でリッスンし、そのポートに送られたリモートメッセージを受け入れ処理します。
SQLインジェクションの脆弱性は、CEBC.exeが'~'文字を区切り文字として4つのフィールドに分割された'RecalculateScript'メッセージを処理する際に存在します。認証されていないリモートの攻撃者は、4番目のフィールドを介してSQLインジェクションを実行できます。

[...]
if (@string.StartsWith("RecalculateScript"))
{
string[] array7 = @string.Split(new char[] { '~' });
if (array7.Length != 4)
{
string text21 = "Command Error!" + DateTime.Now.ToString();
byte[] bytes25 = Encoding.ASCII.GetBytes(text21);
this.socket_1.Send(bytes25, bytes25.Length, SocketFlags.None);
goto IL_F0C;
}
try
{
RecalculateScriptClass recalculateScriptClass = new RecalculateScriptClass();
recalculateScriptClass.timeStart = Convert.ToDateTime(array7[1]);
recalculateScriptClass.timeEnd = Convert.ToDateTime(array7[2]);
recalculateScriptClass.tidList = array7[3].Split(new char[] { ',' });
diaenergieSQLHandleClass.ExcuteSQL("UPDATE DIAE_tag SET recalculate=2 WHERE tid IN (" + array7[3] + ")");
new Thread(new ThreadStart(recalculateScriptClass.RecalculateScript))
{
IsBackground = true
}.Start();
[...]

3. 対応

CVE-2024-4547 は、DIAEnergie v1.10.01.004 パッチで対応済みです。

この脆弱性は、CEBC.exeの「RecalculateScript」からのメッセージの処理を悪用しているようで、弊社のAIWAF製品はさらに分析を進め、パターンとして対応する予定です。

4. 結論

CVE-2024-4547 は、SQL インジェクションの脆弱性で、Delta Electronics 社の DIAEnergie v1.10.1.8610 およびそれ以前のバージョンに影響します。この問題は、'~' 文字で区切られた 4 つのフィールドを含む 'RecalculateScript' メッセージを処理する CEBC.exe コンポーネントにあります。認証されていないリモートの攻撃者は、4つ目のフィールドを操作して悪意のあるSQL文を注入することで、この脆弱性を悪用し、機密データへの不正アクセスや任意のコードを実行することができます。

当社では、このようなコンポーネントを利用する脆弱性がないかAIWAF製品の監視を継続しており、関連する脆弱性が発見された場合には、引き続き迅速に対応してまいります。

5. 参考文献

Copyright 2025 AIONCLOUD's All Right Reserved| Privacy Policy| Terms of Use| Cookie Settings
Scroll Up