ICS Patch Tuesday 2022 August: Siemens/Schneider が 11件の脆弱性に対応

ICS Patch Tuesday: Siemens, Schneider Electric Fix Only 11 Vulnerabilities

2022/08/09 SecurityWeek — ICS Patch Tuesday 2022 August で、Siemens と Schneider Electric が公開した 8件のアドバイザリでは、深刻度 Critical を含む、合計 11件の脆弱性が対応されている。Siemens は、7件の脆弱性を対象とした、4件のアドバイザリをリリースし、Schneider Electric は、4件の脆弱性を対象とした、4件のアドバイザリをリリースした。

両社は、1回の Patch Tuesday で 50件の脆弱性に対応することも珍しくなく、場合によっては 100件の脆弱性をカバーするアドバイザリを発表したこともあった。しかし、今月は、各社が発表したアドバイザリはわずか8件で、対応した脆弱性は 11件のみと、はるかに少ない件数を記録した。

通常は、毎月かなりの数の脆弱性にパッチを適用している大手企業が、少数の脆弱性にしか対応していないからといって、これらのベンダーの製品がより安全になった、あるいは、セキュリティ研究者たちからそれほど注目されなくなったと、結論づけるのは早計だろう。


Siemens

Siemens の4件のアドバイザリでは、7件の脆弱性に対応している。同社は、SCALANCE スイッチ/ルータ/セキュリティ・アプライアンス/無線通信機器などの一部に、3件の脆弱性の影響があることを顧客に通知した。

そのうちの1件は、深刻度 Critical と評価され、管理者権限を持つ認証済みの攻撃者に、コードの注入/ルートシェルの生成を許してしまう。また、深刻度 high-severity の脆弱性は、認証されていないリモートも攻撃者が、DoS 状態を引き起こす可能性がある。深刻度 Medium の脆弱性は、管理者権限を持つ攻撃者が、XSS 攻撃を行うために悪用する可能性があるとのことだ。

現在、修正パッチが提供されているのは、SCALANCE SC-600 security appliances のみであり、影響を受ける製品の一部はパッチが提供されない予定だという。

また、Teamcenter の、リモート・コード実行や DoS 状態につながる可能性のある、2件の深刻度 High の脆弱性にもパッチが適用された。

Simcenter STAR-CCM+ の情報漏洩の脆弱性1件と、SICAM A8000 Web サーバー・モジュールに影響する認証バイパスの脆弱性1件 (深刻度 Medium)については、顧客への通知が行われている。Simcenter の脆弱性は現時点で未修正であり、Siemens は SICAM の脆弱性にパッチを当てる予定はないと述べている。

Schneider Electric

Schneider Electric は、4件のアドバイザリを公開し、それぞれが 1 つの脆弱性に対応している。CVSS スコア (ICS 製品の場合、誤解を招く可能性がある) に基づいた、最も重要なアドバイザリには、EcoStruxure Control Expert/EcoStruxure Process Expert、Modicon M580/M340 の各製品における、重大な脆弱性について記述されている。この脆弱性は、脆弱なパスワード回復メカニズムに関連しており、攻撃者によるデバイスへの不正アクセスを許してしまう。

Schneider は、Modicon PLC/PAC 製品において、DoS 状態を引き起こす可能性のある、深刻度の高い脆弱性と、パスワードハッシュやプロジェクトデータなどの、機密情報の漏洩につながる深刻度の高い不具合を修正した。

また、EcoStruxure Control Expert 製品においては、特別に細工されたプロジェクトファイルを介して悪用される可能性のある、DoS 脆弱性が修正された。Schneider Electric は、それぞれの脆弱性に対してパッチと緩和策をリリースしている。

ICS Patch Tuesday に関する記事は、2022年4月13日の「ICS Patch Tuesday: Siemens/Schneider の SCADA における深刻な脆弱性が FIX」と、5月11日の「ICS Patch Tuesday 2022 May: Siemens/Schneider が 43件の脆弱性に対応」に続いて、今回で3回目となります。なんとなく、遠い存在に思えてしまう ICS 関連の情報ですが、Patch Tuesday というかたちでアップデートの規模感などが見えてくると、気楽に取り組めるようになります。

%d bloggers like this: