CVE-2025-3200: Wiesemann & Theis Com-Server Devices Exposed by Deprecated TLS Protocols
2025/04/29 SecurityOnline — Com-Server++および関連モデルを含む、複数の Wiesemann & Theis 製品に深刻な脆弱性が存在することが、CERT@VDE とWiesemann & Theis GmbH の共同セキュリティ・アドバイザリにより明らかになった。その脆弱性 CVE-2025-3200 は、非推奨である TLS 1.0/TLS 1.1 プロトコルの使用に起因し、暗号化された通信に対する傍受/改竄などが懸念されるものだ。
このアドバイザリには、「Com-Server ファームウェアのバージョン 1.60 未満では、安全が確保されない TLS 1.0/TLS 1.1 プロトコルがサポートされている。これらのプロトコルは、中間者攻撃の影響を受けやすく、それにより、データの機密性と整合性が損なわれる可能性が生じている」と記されている。
この脆弱性 CVE-2025-3200 (CVSS:9.1) の悪用に成功した未認証のリモート攻撃者は、Com-Server デバイスと接続システムの間の、機密通信に対する盗聴/操作を可能にする。
この脆弱性は、ファームウェアのバージョン 1.60 未満を実行する、以下の Wiesemann & Theis 製品に影響を及ぼす:
- 58665 — Com-Server++
- 58664 — Com-Server 20mA
- 58461 — Com-Server OEM
- 58662 — Com-Server PoE 3x Isolated
- 58669 — Com-Server UL
これらのデバイスは、データの機密性と整合性が最も重要とされる、産業オートメーション/製造環境/重要インフラなどの、広範な分野に広く導入されている。
Wiesemann & Theis が推奨するのは、影響を受ける Com-Server デバイスのファームウェアを、バージョン 1.60 以降へと速やかにアップグレードすることだ。この新たなファームウェアでは、安全が確保されない旧式の TLS プロトコルのサポートが無効化され、傍受攻撃に対する強力な保護を実現する。
このアドバイザリは、「Com-Server のファームウェアを、バージョン 1.60 にアップデートしてほしい」と述べている。
このファームウェア・アップデートの詳細な手順については、Wiesemann & Theis の Web サイトおよび公式サポート・チャネルを参照してほしい。
Wikipedia で TLS のバージョンを調べてみたところ、TLS 1.0 は 1999年、1.1 は 2006年に制定され、最新の TLS 1.3 は 2018年に登場したとのことです。そんなに古いバージョンがまだ使われていることに、正直驚きました。「動いているからそのままでいい」という考え方は、やはりダメなのでしょう。特に目立たない通信経路ほど、しっかり見直す必要がありますね。該当の製品をご利用のチームは、アップデートをお急ぎください。よろしければ、TLS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.