United States Computer Emergency Readiness Team (US-CERT)は2021年4月13日(米国時間)、SiemensおよびPKEが提供しているビデオ管理プラットフォーム製品「CCS(Control Center Server)」に複数の脆弱性が存在するとして、セキュリティアドバイザリ「Siemens and PKE Control Center Server」を発行した。これらの脆弱性を悪用されると、攻撃者によって任意のファイルや機密情報が盗み出されたり、任意のコマンドやコードを実装されたりするなどの被害を受ける危険性がある。

  • Siemens and PKE Control Center Server|CISA

    Siemens and PKE Control Center Server | CISA

今回発行されたセキュリティアドバイザリでは、CCSの該当するバージョンに、次のような脆弱性が含まれているとされている。

  • CVE-2019-13947: Webインタフェースにおける機密情報のクリアテキストでの転送
  • CVE-2019-18337: XMLベースの通信プロトコルにおける認証バイパスの脆弱性
  • CVE-2019-18338: XMLベースの通信プロトコルにディレクトリトラバーサルの脆弱性
  • CVE-2019-18340: ユーザーとデバイスのパスワードの暗号化に弱いアルゴリズムを適用
  • CVE-2019-18341: SFTPサービスにおける認証バイパスの脆弱性
  • CVE-2019-18342: SFTPサービスにおいて適切に制限されていない危険なメソッドまたは機能が提供されている
  • CVE-2019-19290: Webインタフェースにおけるパストラバーサルの脆弱性
  • CVE-2019-19291: FTPサービスにおいて、ログイン資格情報がログファイル中にクリアテキストで保存されている
  • CVE-2019-19292: XMLベースの通信プロトコルにおけるSQLインジェクションの脆弱性
  • CVE-2019-19293: Webインタフェースにおけるクロスサイトスクリプティング(XSS)の脆弱性
  • CVE-2019-19294: Webインタフェースのいくつかの入力フィールドにおける複数のXSS脆弱性
  • CVE-2019-19295: XMLベースの通信プロトコルにおいて、セキュリティ関連のアクティビティのログ記録を無効にできる

影響を受ける製品およびバージョンは以下の通りとなっている。

  • CCS v1.5.0より前のすべてのバージョン
  • CVE-2019-18340については、CCS v1.5.0以降のバージョンも対象

脆弱性の影響を回避または軽減するための緩和策などの詳細は、Siemensが提供するセキュリティアドバイザリ「SSA-761844」にまとめられている。SSA-761844は下記セキュリティアドバイザリサイトよりダウンロードできる。

脆弱性のいくつかは深刻度が緊急(Critical)に分類されており、早急な対策が必要。Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、脆弱性のリスクを軽減するために適切な防御策を講じることを推奨している。