Siemensの産業制御用ソフト「WinCC TIAポータル」に脆弱性

攻撃者が物理的にアクセスするか、正規ユーザーのログイン情報を入手するなどの手口で脆弱性を悪用される恐れがある。

[鈴木聖子，ITmedia]

　水道やガスなどのインフラに使われるSiemensの産業制御用ソフト「WinCC TIA（Totally Integrated Automation）ポータル（HMI）」に脆弱性が発見され、米セキュリティ機関ICS-CERTが3月20日にアドバイザリーを公開した。

　それによると、Siemens WinCC TIAポータルV11の全バージョンに、クロスサイトスクリプティングやディレクトリトラバーサルなど複数の脆弱性が存在する。これらの脆弱性は、HMIに物理的にアクセスするか、正規ユーザーのログイン情報を入手したりソーシャルエンジニアリングの手口で正規ユーザーをだますことにより、悪用される恐れがある。

　ただ、これら脆弱性をリモートで悪用することはできず、現時点で悪用コードなどの出現も確認されていないという。

　WinCC TIAポータルは、食品や飲料、上下水道、石油、ガス、化学などさまざまな産業で使われているソフトウェア。Siemensは更新版の「WinCC TIAポータルV12」で、今回見つかった脆弱性を修正している。