今月は、Siemens、Schneider Electric、Phoenix ContactがICSパッチチューズデーのアドバイザリを公開しました。
Siemensが公開した新規アドバイザリは4件のみです。同社はSinec INSにおいて、認証済みコマンド実行、情報漏洩、権限昇格、パスワード露出の各脆弱性を修正しました。
また、Siprotec 5のDoSおよびコード実行の可能性がある問題と、WinCC Certificate Managerの機密情報漏洩の脆弱性にも対処しています。
さらにSiemensは、リモートコード実行を可能にするOpenSSLの脆弱性CVE-2025-15467を、Scalance、Simatic、Sinamics、Sinecなど複数の製品向けにパッチで修正しました。
Schneider Electricは3件の新規アドバイザリを公開しました。内容は、PowerLogic P7のDoSおよびコマンド実行の脆弱性、EasyLogic T150とSaitel DPリモートターミナルユニット&コントローラにおける認証情報の漏洩、EcoStruxure IT Data Center Expertの情報漏洩問題です。
Phoenix Contactは1件の新規アドバイザリを公開し、CHARX SEC-3xxx充電コントローラのファームウェアに存在する認証なしログダウンロードの脆弱性を顧客に通知しました。
CISAとドイツのVDE CERTもベンダーアドバイザリを公開しています。CISAは既に公表済みのSchneiderおよびSiemensの脆弱性について各組織に通知し、VDE CERTはLabX StandardとMBSのセキュリティホールに関するアドバイザリを公開しました。
Rockwell Automationは今回のパッチチューズデーに新たなセキュリティアドバイザリを発行しませんでしたが、OT Cybersecurity Assessment Suite、SecureOT Platform Managed Services、Managed Secure Remote Access(MSRA)を含むSecureOTソリューションスイートの機能強化を発表しました。
