米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月20日(米国時間)、Siemensが提供しているローコード開発ツール「Mendix」に脆弱性が報告されているとして、セキュリティアドバイザリ「ICS Advisory (ICSA-21-110-07): Siemens Mendix」を公開した。この脆弱性を悪用されると、管理者権限を持たないリモートの攻撃者によって管理者権限が奪い取られるおそれがあるという。

  • ICS Advisory (ICSA-21-110-07): Siemens Mendix

    ICS Advisory (ICSA-21-110-07): Siemens Mendix

今回発行されたセキュリティアドバイザリでは、次のアプリケーションがこの脆弱性の影響を受けると報告されている。

  • Mendix 7を使用するMendixアプリケーション: v7.23.19より前のすべてのバージョン
  • Mendix 8を使用するMendixアプリケーション: v8.17.0より前のすべてのバージョン
  • Mendix 8(v8.12)を使用するMendixアプリケーション: v8.12.5より前のすべてのバージョン
  • Mendix 8(v8.6)を使用するMendixアプリケーション: v8.6.9より前のすべてのバージョン
  • Mendix 9を使用するMendixアプリケーション: v9.0.5より前のすべてのバージョン

この脆弱性は特権管理の不備を起因としたもので、管理者権限を持たないユーザーでも、特定の状況下でユーザーロールを操作することで管理者権限を取得できてしまうというというもの。すでにSiemensからは各バージョンの修正版がリリースされており、アップデートすることで問題を回避することができる。

脆弱性の深刻度を表すCVSS v3のスコアは8.1で、これは5段階中2番目に高い「重要(Important)」に分類される。Cybersecurity and Infrastructure Security Agency (CISA) ではユーザーおよび管理者に対し、Siemensが提供するセキュリティ情報を確認し、必要に応じてアップデートを適用することを推奨している。