ICS Patch Tuesday: Siemens/Schneider の SCADA における深刻な脆弱性が FIX

ICS Patch Tuesday: Siemens, Schneider Fix Several Critical Vulnerabilities

2022/04/13 SecurityWeek — Siemens と Schneider Electric は、April 2022 Patch Tuesday のセキュリティ・アドバイザリで、深刻度が Critical とされる脆弱性 20数件対処している。Schneider Electric は、IGSS (Interactive Graphical SCADA System) 製品に存在する、リモートコード実行の深刻な脆弱性にパッチを適用した。新バージョンのリリースに伴いパッチが適用された脆弱性は、スタックバッファオーバー・フローと説明されており、対象システムに細工されたメッセージを送信することで、悪用される可能性がある。

Schneider は、Modicon M340 のコントローラおよび、その通信モジュールに影響をおよぼす、サービス拒否 (DoS) の脆弱性についても説明している。この脆弱性を利用するには、対象となるコントローラに対して、特別に細工されたリクエストを送信する必要がある。

火曜日には Siemens も、新たに発見された脆弱性 11件をアドバイザリで公開している。そのうち2件は、深刻な脆弱性に関するものだ。1つは、SIMATIC Energy Manager 製品に影響をおよぼす3つの脆弱性に関するものであり、認証されていない攻撃者に対して、昇格した特権でコード実行を許してしまう、デシリアライゼーション関連の問題となる。

もう1つは、SCALANCE X スイッチに影響を及ぼす、8つの深刻なバグに関するものとなる。これらの欠陥の多くは、認証なしでリモートから悪用され、デバイス・クラッシュ/機密情報の取得/任意のコード実行などを生じる可能性がある。

Siemens は、Simcenter Femap/SIMATIC PCS neo/SIMATIC S7-400/SCALANCE W1700 における、深刻度 High の脆弱性にも対処している。それらのセキュリティホールは、DoS 攻撃に悪用される可能性があるという。

DoS 脆弱性が悪用されると、コストや損害の大きい障害につながる可能性があるため、産業用システムのケースでは注目すべき問題となる。Siemens では、SIMATIC/Mendix/SICAM など製品において、深刻度 Medium の脆弱性にパッチが適用されている。

タイトルにある ICS とは、Industrial Control System の省略形のことです。お隣のキュレーション・チームは、ICS Patch Tuesday という新たな世界の登場に、泣いて喜んでいました。これまで、IT と OT のセキュリティは、なんらかの壁で仕切られている感じがありましたが、それも Log4j により吹き飛んでしまいました。ご興味がありましたら、2021年12月の「OT 環境での Log4Shell リスク:防御のための最適な手段を探る」をご参照ください。このブログでも、SiemensSchneiderRockwell などは、しっかりと追いかけていきます。

%d bloggers like this: