IIoTにも更新を

ほぼこもセキュリティニュース By Terilogy Worx

IIoTは産業向けIoTです。
Elcomplus社の SmartPPT SCADAとSmartPPT SCADA Serverとに多くの脆弱性が確認されています。

  • SmartPPT SCADAの脆弱性
    パストラバーサル、危険なタイプのファイルの無制限のアップロード、不適切な認証、クロスサイトスクリプティングにつながる可能性があります。
    任意のPATHのファイルにアクセスできますし、ファイルを書き込むこともデータベースに書き込むこともできます。

     

  • SmartPPT SCADA Serverの脆弱性
    クロスサイトスクリプティング、機密情報の不正な露出、危険なタイプのファイルの無制限のアップロード、パストラバーサル、クロスサイトリクエストフォージェリにつながる可能性があります。
    本来読み取ることのできないPATHのデータを読み取られますし、任意のコードの実行が可能です。

     

  • SmartICSの脆弱性
    SmartPPT SCADA製品群と一部同じコードが使用されている他の製品も同じ脆弱性を持ちます。

     

  • 影響範囲
    影響を受ける製品は、米国を含む90か国の2,000以上の組織で使用されています。

製造現場の機器の制御に関わる領域ですので、これらの環境で使用しているソフトウェアを更新することには慎重になる組織が多いかもしれません。
しかし脆弱なままのシステムは脅威に対してあまりにも弱い状態となります。
どのようにすることで適切なタイミングで更新を適用していくことができるのか、例外を作ることなく進めていく必要がありそうです。

参考記事(外部リンク):ICS Advisory (ICSA-22-109-04) Elcomplus SmartPPT SCADA
www.cisa.gov/uscert/ics/advisories/icsa-22-109-04

参考記事(外部リンク):ICS Advisory (ICSA-22-109-05) Elcomplus SmartPPT SCADA
Server

www.cisa.gov/uscert/ics/advisories/icsa-22-109-05