産業界の大手企業である Siemens、Schneider Electric、Aveva、Phoenix Contact が、ICS/OT 製品で発見された脆弱性について顧客に通知するパッチチューズデーアドバイザリを公開しました。
Siemens は 8 件の新しいアドバイザリを公開しました。同社は、Desigo CC、Sentron Powermanager、Simcenter Femap および Nastran、NX、Sinec NMS、Solid Edge、および Polarion 製品における高深刻度の問題に対するパッチと緩和策をリリースしました。Siveillance Video Management Servers では中程度の深刻度の脆弱性が発見されています。
これらの脆弱性が悪用されると、不正アクセス、XSS、DoS、コード実行、および権限昇格につながる可能性があります。
Siemens はまた、Siport デスクトップクライアントアプリケーションにおける改ざん防止保護および最新のエクスプロイト緩和制御の欠如について説明するアドバイザリをリリースしました。「その結果、このアプリケーションは不正な改変および潜在的な悪用の影響を受けやすくなっています」と同社は説明しています。
Schneider Electric は 2 件の新しいアドバイザリを公開しました。1 件は、EcoStruxure Building Operation Workstation および WebStation において DoS、情報開示、またはコード実行につながる可能性のある 2 件の高深刻度の脆弱性について説明しています。
2 件目のアドバイザリは、SCADAPack RTU において DoS またはコード実行を引き起こす可能性のある重大な問題について説明しています。
Aveva は、PI Data Archive における高深刻度の DoS 脆弱性、および PI to Connect Agent における中程度の深刻度の不正アクセス問題について顧客に通知しました。
Phoenix Contact は、2024 年の OpenSSL 脆弱性に対処するアドバイザリをリリースしました。このアドバイザリはドイツの VDE CERT にも取り上げられ、同機関は Wago マネージドスイッチの脆弱性に関するアドバイザリも公開しました。
CISA は、パッチチューズデーに 5 件の新しいアドバイザリを公開しました。これらは、Yokogawa Fast/Tools、Zlan ZLAN5143D、Zoll ePCR モバイルアプリケーション、および火曜日に開示された Aveva の問題における脆弱性について説明しています。
パッチチューズデーの数日前には、Mitsubishi Electric が Freqship-mini for Windows および Melsec iQ-R における脆弱性について、Moxa が産業用コンピュータおよびスイッチにおけるセキュリティホールについてアドバイザリを公開しました。
