ICS Patch Tuesday: Siemens, Schneider Electric Address 43 Vulnerabilities
2022/05/11 SecurityWeek — ICS Patch Tuesday 2022 May で、Siemens と Schneider Electric が公開した 15件のアドバイザリでは、深刻度 Critical を含む、合計43件の脆弱性が対応されている。Siemens は、35件の脆弱性を対象とした、12件のアドバイザリをリリースし、Schneider Electric は、8件の脆弱性を対象とした、3件のアドバイザリをリリースした。
Siemens における脆弱性は、SICAM P850/P855 デバイスの Web サーバーに影響を及ぼす11件の不具合ある。このうち1件は深刻であり、認証されていない攻撃者による任意のコード実行やサービス妨害 (DoS) 攻撃を許す可能性がある。今回のアドバイザリの対象となった、5件の深刻度の高い脆弱性には、DoS攻撃/コードの実行/不正なトラフィック取得とデバイスへの干渉/クロスサイトスクリプティング (XSS) 攻撃などがある。
また、Desigo PXC3/PXC4/PXC5/DXR2 デバイスでも、深刻度の高い脆弱性が見つかっている。これらの欠陥は、任意のコード実行/パスワード・スプレー/クレデンシャル・スタッフィング攻撃などに悪用される可能性がある。深刻度の高いコード実行の問題は、Simcenter Femap/JT2Go/Teamcenter Visualization/cURL ライブラリを使用する、各種の Siemens 産業用製品で確認されている。
Desigo DXR/PXC コントローラ、および CP 44x-1 RNA 通信プロセッサ・モジュール、Teamcenter、OPC Local Discovery Server を使用する各種産業用製品では、DoS攻撃に利用される可能性のある深刻度の高い脆弱性が発見された。また、認証された攻撃者が SIMATIC WinCC のキオスク・モードから脱出するために悪用可能な、深刻度の高い脆弱性も公開されている。Siemens は、これらの脆弱性に対するパッチをリリースしたが、現時点において、影響を受ける全ての製品で修正プログラムを利用できるわけではないようだ。
Schneider Electric は、3件のアドバイザリを公開し、8件の脆弱性を顧客に通知している。このうちの 6件の深刻度の高い脆弱性は、ホーム・オートメーション製品 Wiser Smart に影響するものであり、ハードコードされた認証情報/ブルートフォース攻撃/管理者アカウント・ハイジャック/クロスドメイン攻撃/認証情報の窃取などに悪用される可能性のあるという。
また、Saitel DP remote terminal unit (RTU) 製品における深刻度 Medium の DoS 脆弱性と、計測器用エンジニアリング ツール PowerLogic ION Setup における深刻度 High のリモートコード実行の脆弱性についても、顧客への通知が行われている。
Schneider は、Saitel DP RTU および PowerLogic ION 用のパッチをリリースしている。また、Wiser Smart の場合には、影響を受ける製品が製造中止となっているため、パッチを受け取ることはできないが、いくつかの緩和策が用意されている。
いつから始まったのか分かりませんが、このブログで ICS Patch Tuesday を扱うのは、4月13日の「ICS Patch Tuesday: Siemens/Schneider の SCADA における深刻な脆弱性が FIX」に続いて、これで二度目となります。前回と同様に、Siemens と Schneider が主役です。お隣のキュレーション・チームに、ICS Patch Tuesday の話をしたら、泣いて喜んでいました。
IoT OT Security News 