産業大手のSiemens、Schneider Electric、Rockwell Automation、Avevaは、ICS/OT製品における脆弱性について顧客に通知するパッチチューズデーのアドバイザリを公開しました。
Siemensは新たに6件のアドバイザリを公開しました。そのうちの1件は、Comosプラントエンジニアリングソフトウェアにおける2件の脆弱性(重大なコード実行の欠陥と高深刻度のセキュリティバイパス問題)を対象としています。
また、Siemens Solid Edge(リモートMitM、コード実行)、Altair Grid Engine(コード実行)、Logo! 8 BM(コード実行、DoS、設定改ざん)、Sicam P850(CSRF)製品の脆弱性にも対応しました。
Rockwell Automationは11月11日に新たに5件のアドバイザリを公開し、各アドバイザリはさまざまな製品で発見された高深刻度の脆弱性を対象としています。
同社はVerve Asset Manager OTセキュリティプラットフォームの顧客に対し、APIを通じて認可されていない読み取り専用ユーザーが他のユーザーアカウントを改ざんできる高深刻度のアクセス制御問題があることを通知しました。
Logix 5000コントローラー向けStudio 5000統合設計環境では、NTLMハッシュが漏洩するSSRFの欠陥とローカルコード実行のバグが修正されました。
FactoryTalk DataMosaix Private CloudではMFAバイパスと永続的なXSSの脆弱性が修正されました。また、サードパーティ製コンポーネントの使用によって導入された欠陥がSIS Workstation(コード実行)およびFactoryTalk Policy Manager(DoS)で修正されています。
Avevaは火曜日に新たに2件のアドバイザリを公開しました。そのうちの1件は、権限昇格に悪用可能な高深刻度の永続的XSSの欠陥について説明しています。
2件目のアドバイザリは、プロジェクトおよびキャッシュファイルへの読み取りアクセス権を持つ攻撃者が、弱いハッシュを総当たりで解読することでユーザーパスワードを取得できるAveva Edgeの脆弱性を対象としています。
この脆弱性はSchneider ElectricのEcoStruxure Machine SCADA ExpertおよびPro-face BLUE Open Studio製品にも影響します。Schneiderは今回のパッチチューズデーで新たに2件のアドバイザリを公開し、そのうち1件がこの欠陥の影響を説明しています。
Schneiderの2件目のアドバイザリは、PowerChute Serial Shutdown UPS管理ソフトウェアにおける高深刻度のパストラバーサル、認証総当たり攻撃、権限昇格の問題について説明しています。
Moxa、ABB、Honeywell、三菱電機はパッチチューズデーにアドバイザリを公開しませんでしたが、直前の日々に修正済みの脆弱性について顧客に通知しています。ドイツのVDE@CERTも最近2件のアドバイザリを公開しました。
