ICS Patch Tuesday: Siemens Addresses Over 180 Third-Party Component Vulnerabilities
2023/06/14 SecurityWeek — Siemens が発表したのは、合計で約200件の脆弱性をカバーする、12件の新たなアドバイザリである。これらの脆弱性の大部分は、サードパーティのコンポーネントに影響を与えるものだとされる。Siemens は顧客に通知したのは、Simatic S7-1500 に対して、特に TM MFP (Multi Functional Platform) に影響を及ぼす、Linux カーネルの 108件の脆弱性である。同社は、これらの脆弱性に対するパッチを準備中であり、それらが提供されるまでの間の、回避策と緩和策を共有している。
また、Siemens は、同製品の BIOS で見つかった 54件の脆弱性についても、顧客に通知している。一連のセキュリティ・ホールは、Linux カーネル/ライブラリ/BusyBox/Intel プロセッサを含む、各種のサードパーティ・コンポーネントに影響を及ぼすものだ。それらの脆弱性についても、パッチが準備されているという。
また、別のアドバイザリでは、Sinamics の中電圧製品に存在する 20件ほどのバグについても説明されている。それらの問題も、サードパーティ・コンポーネントに影響を及ぼすものであり。修正プログラムがリリースされている。
さらに Sinamics は、Simatic Step 7 および Sicam Q200 における深刻なリモートコード実行の脆弱性を解決した。
それに加えて、Solid Edge/Simatic WinCC/Teamcenter Visualization and JT2Go/Sicam A8000 における、いくつかの深刻な脆弱性に対してもパッチが提供されている。これらのセキュリティ・ホールが悪用されると、任意のコード実行/DoS 攻撃/権限の昇格/不正アクセスなどが生じる恐れがある。
Sinamics は、TIA Portal (プロジェクト・ファイルの暗号化の問題)/Simotion (コンフィグレーション・データの暴露)/Simatic WinCC (認証と暗号化の問題) などの、Medium レベルの欠陥についても顧客に通知している。
Schneider Electric
Schneider Electric は、合計で5件の脆弱性をカバーする、4つの新しいアドバイザリをリリースした。
そのうちの1つは、同社の Foxboro DCS (distributed control system) に影響を及ぼす、2件の深刻な欠陥について顧客に通知するものだ。その悪用に成功した攻撃者は、DoS 攻撃/権限昇格/カーネルコード実行などを可能にするという。
また、Foxboro SCADA 製品には、平文の認証情報を暴露する欠陥が存在するという。この問題は、Aveva InTouch のコンポーネントに存在し、2021年にパッチが適用されたものである。
さらに Schneider は、EcoStruxure Operator Terminal Expert/Pro-face BLUEm/IGSS (Interactive Graphical SCADA System) に存在する脆弱性の悪用に成功した攻撃者が、任意のコード実行を引き起こす可能性についても警告している。ただし、それらを悪用する前提として、対象となるユーザーを騙して、特別に細工されたプロジェクト・ファイルを開かせる必要があるという。
Siemens にとっても、Schneider にとっても、サードパーティ・コンポーネントの脆弱性が問題なのですね。この記事を訳しながら、思い出したのが、2023/02/01 の「サプライチェーン調査:3rd パーティーから 4th パーティーへの可視化の拡大が不可欠」という話です。その記事には、以下のグラフが載っているのですが、眺めているだけで頭が痛くなる現実があります。
これは、侵害に関するデータであり、脆弱性に関するおのではありませんが、サードパーティからフォースパーティへと辿っていくと、さらに状況が悪化すると推測できます。よろしければ、カテゴリ Supply Chain も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.