United States Computer Emergency Readiness Team (US-CERT)は2021年4月15日(米国時間)、「Schneider Electric C-Bus Toolkit|CISA」において、Schneider Electricが提供するC-Bus Toolkitに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってリモートからコードが実行される危険性があるとされている。

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Schneider Electric C-Bus Toolkit v1.15.7およびこれよりも前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Schneider Electric C-Bus Toolkit v1.15.8
  • Schneider Electric Security Notification - 13-Apr-21 Document Reference Number – SEVD-2021-103-01- Bus Toolkit

    Schneider Electric Security Notification - 13-Apr-21 Document Reference Number – SEVD-2021-103-01- Bus Toolkit

修正されたバージョンのダウンロード先は上記の詳細ページに記載されている。

脆弱性は深刻度が重要に分類されており注意が必要。リモートからの悪用が可能であるほか、攻撃のための複雑さも低いとされており、攻撃を受けることで最終的にコードが実行される危険性がある。Schneider Electricは該当するプロダクトを使用しているユーザーに対し、最新版へアップグレードすることと推奨している。