Siemens and PKE Control Center Server | CISA今回発行されたセキュリティアドバイザリでは、CCSの該当するバージョンに、次のような脆弱性が含まれているとされている。
CVE-2019-13947: Webインタフェースにおける機密情報のクリアテキストでの転送
CVE-2019-18337: XMLベースの通信プロトコルにおける認証バイパスの脆弱性
CVE-2019-18338: XMLベースの通信プロトコルにディレクトリトラバーサルの脆弱性
CVE-2019-18340: ユーザーとデバイスのパスワードの暗号化に弱いアルゴリズムを適用
CVE-2019-18341: SFTPサービスにおける認証バイパスの脆弱性
CVE-2019-18342: SFTPサービスにおいて適切に制限されていない危険なメソッドまたは機能が提供されている
CVE-2019-19290: Webインタフェースにおけるパストラバーサルの脆弱性
CVE-2019-19291: FTPサービスにおいて、ログイン資格情報がログファイル中にクリアテキストで保存されている
CVE-2019-19292: XMLベースの通信プロトコルにおけるSQLインジェクションの脆弱性
CVE-2019-19293: Webインタフェースにおけるクロスサイトスクリプティング(XSS)の脆弱性
CVE-2019-19294: Webインタフェースのいくつかの入力フィールドにおける複数のXSS脆弱性
CVE-2019-19295: XMLベースの通信プロトコルにおいて、セキュリティ関連のアクティビティのログ記録を無効にできる
影響を受ける製品およびバージョンは以下の通りとなっている。
CCS v1.5.0より前のすべてのバージョン
CVE-2019-18340については、CCS v1.5.0以降のバージョンも対象
脆弱性の影響を回避または軽減するための緩和策などの詳細は、Siemensが提供するセキュリティアドバイザリ「SSA-761844」にまとめられている。SSA-761844は下記セキュリティアドバイザリサイトよりダウンロードできる。
Siemens Security Advisories
脆弱性のいくつかは深刻度が緊急(Critical)に分類されており、早急な対策が必要。Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、脆弱性のリスクを軽減するために適切な防御策を講じることを推奨している。