産業大手の Siemens、Rockwell Automation、Schneider Electric、および Phoenix Contact は、ICS/OT 製品で発見された脆弱性について顧客に通知するパッチチューズデーのアドバイザリを公開しました。
Siemens は新たに 14 件のアドバイザリを公開しました。Comos、Sicam T、Ruggedcom ROX 製品に影響するサードパーティコンポーネントの多数の脆弱性を対象とした 3 件のアドバイザリには、全体として「クリティカル」の深刻度レーティングが割り当てられています。
Siemens Advanced Licensing (SALT) Toolkit、IAM Client(複数製品)、Simatic CN 4100、Ruggedcom ROX、Interniche IP-Stack(複数製品)、および Sinec Security Monitor で見つかった脆弱性には、「高」深刻度レーティングが割り当てられています。
中程度の深刻度の問題は、Energy Services、Building X-Security Manager Edge Controller、Gridscale X Prepay、Ruggedcom ROS、および Sinema Remote Connect Server 製品で対処されています。
これらの脆弱性は、任意コード実行、サービス拒否(DoS)、不正アクセス、中間者(MitM)攻撃、および機密情報の取得に悪用される可能性があります。
Schneider Electric は新たに 2 件のアドバイザリを公開しました。そのうち 1 件は、産業大手の EcoStruxure Foxboro DCS 製品に対する、悪用された Windows Server Update Services (WSUS) の脆弱性の影響について説明しています。2 件目のアドバイザリは、同じ EcoStruxure 製品に対する古い ZombieLoad 脆弱性の影響を扱っています。
Rockwell Automation も新たに 2 件のアドバイザリを公開しました。そのうち 1 件は、432ES-IG3 Series A GuardLink EtherNet/IP インターフェイスに影響する高深刻度の DoS 問題を扱っています。2 件目のアドバイザリは、FactoryTalk DataMosaix Private Cloud における高深刻度の SQL インジェクションについて説明しています。
Phoenix Contact は 1 件のアドバイザリを公開し、自社の FL SWITCH 2xxx シリーズスイッチで見つかった複数の XSS、DoS、認証、および情報露出の脆弱性について説明しています。
Phoenix Contact のアドバイザリは、ドイツの VDE CERT によっても取り上げられています。
CISA は新たに 3 件のアドバイザリを公開しました。それぞれ、インドの CCTV カメラ(認証欠如)、Festo LX Appliance(XSS)、および U-Boot(コード実行)に影響する 1 件ずつの脆弱性について説明しています。
翻訳元: https://www.securityweek.com/ics-patch-tuesday-vulnerabilities-fixed-by-siemens-rockwell-schneider/
