米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月22日(米国時間)、「Horner Automation Cscape|CISA」において、Horner Automationが提供する制御システム用アプリケーションプログラミングソフトウェア「Cscape」に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってプロセスのコンテキストでコードが実行されたり、ローカルにおいて特権昇格を実施させられたりする危険性がある。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Horner Automation Cscape 9.90SP4より前のすべてのバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Horner Automation Cscape 9.90SP4
Horner Automationは該当するプロダクトを使用しているユーザーに対し、Horner Automation Cscape 9.90SP4へアップデートすることを推奨している。この脆弱性を悪用した攻撃は複雑さが低いと評価されていることから注意が必要。