Urgent Security Alert for Siemens Fire Protection Systems: Critical Vulnerabilities Discovered
2024/05/16 SecurityOnline — Siemens が発表したのは、同社の火災安全ソリューション・プロバイダー Cerberus PRO UL/Desigo Fire Safety UL システムに存在する、深刻な脆弱性を警告するセキュリティ勧告である。これらの脆弱性の悪用に成功した攻撃者は、防火ネットワークへの不正アクセスを可能にし、人命や財産を危険にさらす可能性を手にする。
バッファ・オーバーフローの脆弱性とシステムへの攻撃
特定された脆弱性は CVE-2024-22039/CVE-2024-22040/CVE-2024-22041 は、影響を受けるシステムのネットワーク通信スタック内に存在するものだ。これらの脆弱性が悪用されると、致命的な結果を招く可能性が生じる:
CVE-2024-22039 (CVSS 10): この致命的な脆弱性の悪用に成功した攻撃者は、root 権限でデバイス上で任意のコードを実行し、 システムを完全に乗っ取る可能性を持つ。
CVE-2024-22040/CVE-2024-22041 (CVSS 7.5): これらの脆弱性が悪用されると、サービス拒否 (DoS) 状態が発生し、緊急時における防火システムの応答が停止するという可能性が生じる。
影響を受ける製品と緊急対策
以下の製品が、上記の脆弱性の影響を受ける:
- Cerberus PRO UL Compact Panel FC922/924
- Cerberus PRO UL Engineering Tool
- Cerberus PRO UL X300 Cloud Distribution
- Desigo Fire Safety UL Compact Panel FC2025/2050
- Desigo Fire Safety UL Engineering Tool
- Desigo Fire Safety UL X300 Cloud Distribution
すでに Siemens は、一連の脆弱性に対処するために、上記製品のアップデート版をリリースしている。ユーザーに対して強く推奨されるのは、最新バージョンへとシステムを直ちにアップデートし、侵害のリスクを軽減することだ。
防火システムのセキュリティの重要性
防火システムとは、火災を検知/鎮圧し、居住者に警告を発し、安全な避難を促すように設計された、建物の安全性を確保するための重要な構成要素である。これらのシステムが侵害された場合には、人命の損失や甚大な物的損害など、壊滅的な結果をもたらす可能性が生じる。
Siemens というと、産業用のシステムが頭に浮かびますが、このような防火システムの分野でも活躍しているのですね。Siemens Fire Protection で検索してみると、同社の取り組みを紹介するページが見つかりました。よろしければ、Siemens で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.