United States Computer Emergency Readiness Team (US-CERT)は4月13日(米国時間)、Siemensの産業用ネットワーク製品「SCALANCE X200」シリーズに搭載されているWebサーバに複数の脆弱性が存在するとして、セキュリティアドバイザリ「ICS Advisory (ICSA-21-103-07): Siemens Web Server of SCALANCE X200」を発行した。これらの脆弱性を悪用されると、バッファオーバーフローが発生してリモートから任意のコードを実行される危険性がある。
-
ICS Advisory (ICSA-21-103-07): Siemens Web Server of SCALANCE X200 | CISA
セキュリティアドバイザリによれば、SCALANCE X200シリーズの該当する製品には、搭載されたWebサーバに以下の2種類の脆弱性が存在するという。
- CVE-2021-25668: POSTリクエストの不適切な処理によるヒープベースのバッファオーバーフロー
- CVE-2021-25669: POSTリクエストの不適切な処理によるスタックベースのバッファオーバーフロー
いずれの脆弱性も、悪用されると攻撃者によってサービス拒否状態を引き起こされたり、リモートからコードを実行されたりする危険性がある。脆弱性の深刻度を表すCVSS v3のスコアはいずれも9.8で、5段階中最も高い「緊急(Critical)」に分類される。
影響を受ける製品は多岐にわたるため、CISAによる上記セキュリティアドバイザリか、またはSiemensが提供している次のセキュリティアドバイザリ(PDF)を参照のこと。
Siemensによれば、該当する製品をv5.5.1にアップデートすることで問題は解消するとのこと。または、応急的な緩和策として、Webサーバーのネットワークトラフィックをファイアウォールルールで信頼できる接続に制限する方法が提示されている。
