United States Computer Emergency Readiness Team (US-CERT)は4月13日(米国時間)、Siemensの産業用ネットワーク製品「SCALANCE X200」シリーズに搭載されているWebサーバに複数の脆弱性が存在するとして、セキュリティアドバイザリ「ICS Advisory (ICSA-21-103-07): Siemens Web Server of SCALANCE X200」を発行した。これらの脆弱性を悪用されると、バッファオーバーフローが発生してリモートから任意のコードを実行される危険性がある。

  • ICS Advisory (ICSA-21-103-07): Siemens Web Server of SCALANCE X200|CISA

    ICS Advisory (ICSA-21-103-07): Siemens Web Server of SCALANCE X200 | CISA

セキュリティアドバイザリによれば、SCALANCE X200シリーズの該当する製品には、搭載されたWebサーバに以下の2種類の脆弱性が存在するという。

  • CVE-2021-25668: POSTリクエストの不適切な処理によるヒープベースのバッファオーバーフロー
  • CVE-2021-25669: POSTリクエストの不適切な処理によるスタックベースのバッファオーバーフロー

いずれの脆弱性も、悪用されると攻撃者によってサービス拒否状態を引き起こされたり、リモートからコードを実行されたりする危険性がある。脆弱性の深刻度を表すCVSS v3のスコアはいずれも9.8で、5段階中最も高い「緊急(Critical)」に分類される。

影響を受ける製品は多岐にわたるため、CISAによる上記セキュリティアドバイザリか、またはSiemensが提供している次のセキュリティアドバイザリ(PDF)を参照のこと。

Siemensによれば、該当する製品をv5.5.1にアップデートすることで問題は解消するとのこと。または、応急的な緩和策として、Webサーバーのネットワークトラフィックをファイアウォールルールで信頼できる接続に制限する方法が提示されている。