United States Computer Emergency Readiness Team (US-CERT)は3月9日(米国時間)、「ICS-CERT Advisories|CISA」において、シーメンスの制御システムに脆弱性があるとして、複数のセキュリティアドバイザリを発行した。同日で合計21個のアドバイザリが発行されている。対象が多岐に及ぶほか、うち13個の脆弱性は深刻度が重要と評価されており注意が必要。
脆弱性に関する情報は次のページにまとまっている。
- Siemens PROFINET DCP (Update S) | CISA
- Siemens Industrial Products (Update Q) | CISA
- Siemens SINEMA Remote Connect (Update A) | CISA
- Siemens SIMATIC Ident MV440 Family (Update A) | CISA
- Siemens PROFINET-IO Stack (Update D) | CISA
- Siemens KTK, SIDOOR, SIMATIC, and SINAMICS (Update B) | CISA
- Siemens SIMATIC, SINAMICS, SINEC, SINEMA, SINUMERIK (Update F) | CISA
- Siemens UMC Stack (Update F) | CISA
- Siemens Embedded TCP/IP Stack Vulnerabilities–AMNESIA:33 (Update B) | CISA
- dnsmasq by Simon Kelley (Update A) | CISA
- Luxion KeyShot (Update A) | CISA
- Siemens SCALANCE and SIMATIC libcurl | CISA
- Siemens Solid Edge File Parsing | CISA
- Siemens Energy PLUSCONTROL 1st Gen | CISA
- Siemens TCP Stack of SIMATIC MV400 | CISA
- TCP/IP Stack Vulnerabilities–AMNESIA:33 in SENTRON PAC / 3VA Devices | CISA
- Siemens LOGO! 8 BM | CISA
- Siemens SINEMA Remote Connect Server | CISA
- Siemens SCALANCE and RUGGEDCOM Devices | CISA
- Siemens SCALANCE and RUGGEDCOM Devices SSH | CISA
- Siemens SIMATIC S7-PLCSIM | CISA
このところ、制御システムに関する脆弱性の発表が活発化している。これは制御システムがサイバー攻撃に使われる割合が増えているため。アップデートが実施されない制御システムはサイバー攻撃の対象にされやすい。ベンダーの提供する情報に注目するとともに、可能な限り迅速にアップデートや回避策を適用することが望まれる。