産業界大手のシーメンス、シュナイダーエレクトリック、ロックウェル・オートメーションが2026年7月分のパッチチューズデー勧告を公開し、自社のICS製品に見つかった脆弱性について顧客に周知しました。
シーメンスは9件の新規勧告を公開し、そのうち6件はCVSSスコアに基づき緊急(クリティカル)と評価される脆弱性を扱っています。Opencenter Xのトークン無効化に関する脆弱性にはCVSSスコア10が付与されており、攻撃者が認証を回避してアプリケーションへの完全なアクセス権を得ることが可能です。
シーメンスは、Mendix、Sidis Secured SmartPlug、Simatic S7-1500、Cadra、Desigo CCについても緊急の脆弱性を修正または軽減しました。これらの脆弱性の多くはサードパーティ製コンポーネントに起因するもので、悪用されるとDoS攻撃の実行、コード実行、機密情報の窃取、権限昇格につながるおそれがあります。
SecurityWeek ICSサイバーセキュリティ会議、25周年記念特別開催地としてナッシュビルへ
シーメンスはさらに、Simatic S7-PLCSIM、Ruggedcom APE1808、Comos、Designcenter、Simcenter、Solid Edge、Tecnomatrixの各製品における重要度「高」の脆弱性にも対処しました。
シュナイダーエレクトリックは新たに2件の勧告を公開しました。うち1件は、IGSS(Interactive Graphical SCADA System)製品における重要度「高」の脆弱性を扱っており、攻撃者は特別に細工したファイルを使用して任意のコードを実行できます。
もう1件の勧告では、EcoStruxure Cybersecurity Admin Expertにおける重要度「高」の認証回避の欠陥について説明しています。ローカルの攻撃者がこれを悪用すると、管理対象デバイスを侵害するおそれがあります。
ロックウェル・オートメーションは火曜日、新たに12件の勧告を公開しました。このうち2件は緊急の脆弱性を扱っています。
1715 Redundant IO製品に存在する緊急の脆弱性は、認証されていない攻撃者による侵入的なCLIコマンドへのアクセスを許すもので、これによりファイルの読み取りや削除、タスクの停止、IO状態の変更、メモリの改変が可能になります。
ロックウェルは、CompactLogix、ControlLogix、Compact GuardLogix、GuardLogixの各コントローラーにおいて、重大かつ復旧不能な障害を引き起こしかねない緊急のDoS脆弱性3件を修正しました。
また、Flex 5000 Adapter、FactoryTalk DataMosaix、FactoryTalk Services Platform、Arena、ThinManager、Studio 5000 Logix Designer、1756-EN、1734 POINT I/O、1719-AENTRの各製品についても、重要度「高」の脆弱性を修正しています。
ABBと三菱電機は今回のパッチチューズデーで新規勧告を公開していませんが、この1か月の間に緊急および重要度「高」の問題を含む新たな脆弱性について顧客に通知しています。
ABBの勧告3件とロックウェルの勧告1件は、火曜日にサイバーセキュリティ機関のCISAからも配信されました。
ドイツのVDE CERTは、Murrelektronik、メトラー・トレド、Codesys、Wagoの各製品に関する脆弱性を扱った新規勧告を5件公開しました。
翻訳元: https://www.securityweek.com/ics-patch-tuesday-vulnerabilities-fixed-by-siemens-schneider-rockwell/