2025年8月のパッチチューズデーアドバイザリが、産業用制御システム(ICS)やその他のオペレーショナルテクノロジー(OT)ソリューションを提供する複数の大手企業から公開されました。
Siemensは22件の新しいアドバイザリを公開しました。そのうちの1件はCVE-2025-40746に関するもので、これはSimatic RTLS Locating Managerの重大な問題であり、認証済みの攻撃者によってシステム権限でコードを実行される可能性があります。
同社はまた、Comos(コード実行)、Siemens Engineering Platforms(コード実行)、Simcenter(クラッシュまたはコード実行)、Sinumerikコントローラ(不正なリモートアクセス)、Ruggedcom(物理アクセスによる認証バイパス)、Simatic(コード実行)、Siprotect(DoS)、Opcenter Quality(不正アクセス)における高深刻度の脆弱性に関するアドバイザリも公開しています。
Siemensはまた、OpenSSL、Linuxカーネル、Wibu Systems、Nginx、Nozomi Networks、SQLiteなどのサードパーティコンポーネントの使用によって導入された脆弱性にも対応しました。
Simotion Scout、Siprotec 5、Simatic RTLS Locating Manager、Ruggedcom ROX II、Sicam Q製品では、中程度および低深刻度の問題が解決されています。
例年通り、Siemensはこれら多くの脆弱性に対してパッチをリリースしていますが、一部の不具合については緩和策や回避策のみが提供されています。
Schneider Electricは5件の新しいアドバイザリを公開しました。そのうちの1件は、EcoStruxure Power Monitoring Expert(PME)、Power Operation(EPO)、Power SCADA Operation(PSO)製品における4件の高深刻度の脆弱性について説明しています。これらの脆弱性が悪用されると、任意のコード実行や機密データの漏洩につながる可能性があります。
Modicon M340コントローラおよびその通信モジュールでは、特別に細工されたFTPコマンドによって引き起こされる高深刻度のDoS脆弱性、および機密情報漏洩またはDoS状態につながる高深刻度の問題が修正されました。
広告。スクロールして続きをお読みください。
Schneider Electric Software Updateツールでは、攻撃者が権限昇格、ファイルの破損、情報の取得、または永続的なDoSを引き起こす可能性のある高深刻度の脆弱性が修正されました。
SaitelおよびEcoStruxure製品では、権限昇格、DoS、機密認証情報の漏洩につながる中程度の脆弱性が修正されています。
Honeywellは、ビル管理製品に関する6件のアドバイザリを公開しました。これには、MaxproおよびPro-Watch NVRおよびVMS製品向けのWindowsパッチについて顧客に通知する複数のアドバイザリが含まれています。同社はまた、PWシリーズアクセスコントローラのパッチおよびセキュリティ強化に関するアドバイザリも公開しています。
Avevaは、PI Integrator for Business Analyticsにおける2件の問題に関するアドバイザリを公開しました。2件の脆弱性が修正されており、1つは任意ファイルアップロードによるコード実行の可能性、もう1つは機密データ漏洩の脆弱性です。
ABBは火曜日、Aspect、Nexus、Matrix製品に影響する複数の脆弱性について顧客に通知しました。これらの一部の脆弱性は、認証なしでリモートコード実行、認証情報の取得、ファイルや各種コンポーネントの操作に悪用される可能性があります。
Phoenix Contactは、Device and Update Managementにおける権限昇格の脆弱性について顧客に通知しました。同社はこれを、権限の低いローカルユーザーが管理者権限で任意のコードを実行できる設定ミスと説明しています。ドイツのCERT@VDEもPhoenix Contactのアドバイザリのコピーを公開しています。
米国サイバーセキュリティ庁CISAは、Santesoft Sante PACS Server、Johnson Controls iSTAR、Ashlar-Vellum製品における脆弱性を説明する3件の新しいアドバイザリを公開しました。CISAはまた、AvevaのアドバイザリおよびSchneider Electricのアドバイザリの1件も配布しています。
パッチチューズデーの数日前、Rockwell Automationは、Arena Simulation製品に影響する複数の高深刻度のコード実行脆弱性について顧客に通知するアドバイザリを公開しました。
また、パッチチューズデー前に、三菱電機はGenesisおよびMC Works64製品における情報改ざんの脆弱性について説明するアドバイザリを公開しました。
翻訳元: https://www.securityweek.com/ics-patch-tuesday-major-vendors-address-code-execution-vulnerabilities/