지멘스, Siemens Digital Industries 소프트웨어 제품 내 취약점 수십 개 수정

 

 

Siemens fixed tens of flaws in Siemens Digital Industries Software products

 

Siemens가 PLM(제품 수명 주기 관리) 솔루션을 제공하는 Siemens Digital Industries 소프트웨어 내 일부 제품에 영향을 미치는 취약점 18개를 수정했습니다.

 

이 취약점은 JT 데이터(3D 데이터 ISO 표준 포맷)용 3D 뷰 툴인 Siemens JT2Go와 Teamcenter Visualization 솔루션에 영향을 미칩니다.

 

JT2Go는 사용자가 JT, VFZ, CGM, TIF 데이터와 함께 JT, PDF, Solid Edge, PLM XML을 볼 수 있도록 하는 3D JT 뷰 툴입니다.

 

Teamcenter Visualization 소프트웨어는 단일 환경에서 문서, 2D 도면, 3D 모델에 액세스 할 수 있는 포괄적인 시각화 솔루션 제품군을 제공합니다.

 

Siemens는 공지를 통해 아래와 같이 밝혔습니다.

 

“JT2Go와 Teamcenter Visualization에서 타깃 호스트 시스템에서 임의 코드 실행, 데이터 유출로 이어질 수 있는 여러 취약점이 발견되었습니다. Siemens는 이 두 제품에 대한 업데이트를 공개했으며, 최신 버전으로 업데이트 할 것을 권장합니다.”

 

또한 해당 문제를 악용하는 공격을 예방하기 위해, JT2Go 또는 Teamcenter Visualization를 사용하는 시스템에서 신뢰할 수 없는 파일을 열지 말 것을 권장했습니다.

 

그리고 시스템에서 신뢰할 수 없는 코드가 실행될 가능성을 줄이기 위해 심층 방어 개넘을 적용할 것을 제안했습니다.

 

미 CISA 또한 해당 보안 취약점 관련 권고를 발표했습니다.

 

CISA에 따르면, 이 취약점은 유형 혼동, XML 외부 엔티티 참조의 부적절한 제한, out-of-bounds 쓰기, 힙 기반 버퍼 오버플로우, 스택 기반 버퍼 오버플로우, 신뢰할 수 없는 포인터 역참조, out-of-bound 읽기를 포함합니다.

 

해당 취약점에 영향을 받는 제품은 아래와 같습니다.

 

- JT2Go: v13.1.0 이전 버전의 모든 제품
- JT2Go: v13.1.0에는 CVE-2020-26989, CVE-2020-26990, CVE-2020-26991만 존재함
- Teamcenter Visualization: v13.1.0 이전 버전의 모든 제품
- Teamcenter Visualization: v13.1.0에는 CVE-2020-26989, CVE-2020-26990, CVE-2020-26991만 존재함

 

이 취약점은 Trend Micro의 ZDI와 미 CISA를 통해 보고되었습니다.

 

또한 Siemens는 3D 설계, 시뮬레이션 및 제조용 소프트웨어 툴을 제공하는 Solid Edge 솔루션의 취약점 6개를 패치했습니다. 이 결함은 임의 코드 실행 및 정보 유출로 이어질 수 있습니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/113511/ics-scada/siemens-digital-industries-software-flaws.html

https://cert-portal.siemens.com/productcert/txt/ssa-622830.txt

https://cert-portal.siemens.com/productcert/txt/ssa-979834.txt

https://www.zerodayinitiative.com/advisories/ZDI-21-062/