米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月20日(米国時間)、Delta Electronicsが提供している産業用ソフトウェア「COMMGR」に脆弱性が発見されたとして、セキュリティアドバイザリ「ICS Advisory (ICSA-21-110-03): Delta Industrial Automation COMMGR」を発行した。
次のバージョンのCOMMGR、通信管理ソフトウェア、および付随するPLCシミュレータが該当する脆弱性の影響を受けるという。
- COMMGR バージョン1.12以前
セキュリティアドバイザリによると、該当するバージョンのCOMMGRにはバッファオーバーフローの脆弱性が存在しており、悪用されると攻撃者によってリモートから任意のコードが実行されたり、アプリケーションサーバーがクラッシュしてサービス拒否状態に陥ったりするなどの危険性があるという。新たにリリースされたバージョン1.13にアップデートすることで、この問題を回避できる。
脆弱性の深刻度を表すCVSS v3のスコアは9.8で、これは5段階中一番高い「緊急(Critical)」に分類される。Delta ElectronicsおよびCybersecurity and Infrastructure Security Agency (CISA)では、この脆弱性に対処するためにCOMMGRを最新版にアップグレードすることを推奨している。またCISAでは、産業用の制御システムにおいては、脆弱性などのリスクを軽減するためにネットワーク露出を最小限に抑えるなどの防御策を講じるように呼びかけている。