Siemens 제품군 2026년 5월 정기 보안 업데이트 권고.

Siemens는 공급한 다수 제품의 취약점을 해결하는 보안 업데이트를 발표했다. 영향받는 제품은 IE/PB LINK HA, IE/PB link PN IO, Opcenter RDnL, ROS#, RUGGEDCOM APE1808, RUGGEDCOM RM1224 LTE, RUGGEDCOM ROX 계열, SCALANCE 계열, SENTRON 7KT PAC1261 Data Manager, SIMATIC S7 및 ET 200 계열, SIMATIC HMI MTP 계열, SINAMICS 계열, SINUMERIK 840D sl, SIMIT UNIT, SITOP 제품군, Simcenter Femap, Solid Edge, blueplanet 및 gWAP 등이다.

공개된 취약점은 경계값을 벗어난 쓰기, 경계값을 벗어난 읽기, 힙 버퍼 오버플로, 스택 버퍼 오버플로, UAF(메모리 해제후 재사용), XSS, 경로 탐색 제한 미흡, HTTP 요청 해석 불일치, 인증 미흡, 하드 코딩된 암호키 사용, 특수 요소 검증 미흡, OS 명령 검증 미흡 등으로 구성된다. 일부 취약점은 CVSS 10.0까지 보고되었다.

해결 방식은 제품마다 다르다. 다수 제품은 지정된 버전으로 업데이트해야 한다. 예를 들어 RUGGEDCOM ROX는 V2.17.1 및 이후 버전, RUGGEDCOM RM1224 LTE와 여러 SCALANCE M 제품은 V8.3 및 이후 버전, SCALANCE W 제품 다수는 V6.6.0 및 이후 버전, SCALANCE WAB/WAM/WUB/WUM 계열은 V3.2.0 및 이후 버전, SIMATIC HMI MTP 계열은 V21 및 이후 버전, SIMATIC CFU는 V2.0.0 및 이후 버전으로 업데이트해야 한다.

일부 제품은 완화 조치만 제시되었다. IE/PB LINK HA와 IE/PB link PN IO, 다수 SCALANCE X/XF/XM/XR 장비, SIMIT UNIT, SINAMICS, SINUMERIK, SITOP 일부는 trusted IP addresses only로 접근을 제한해야 한다. 여러 SIMATIC ET 200SP, SIMATIC S7-1500, SIMATIC S7-300, SIMATIC S7-400 및 SIPLUS 관련 제품은 TIA project 다운로드를 trusted personnel only로 제한하거나 firmware update 권한을 instructed personnel에게만 허용해야 한다. 일부 ET 200pro와 ET 200S 제품은 CPU의 ethernet ports를 비활성화하고 CP 같은 communication module을 사용해야 한다.

KACO blueplanet 계열 일부는 현재 수정이 제공되지 않거나 수정 계획이 없다고 안내되었다. blueplanet gridsafe 110 TL3-S와 blueplanet gridsafe 137 TL3-S는 V3.91 및 이후 버전으로 업데이트해야 하며, Unknown Product는 지정된 버전 이상으로 업데이트해야 한다. gWAP는 V3.1.1 및 이후 버전, Opcenter RDnL은 Apache Artemis 2.52.0 및 이후 버전, Simcenter Femap은 V2512.0003 및 이후 버전, Solid Edge는 SE2026 V226.0.5 및 이후 버전으로 업데이트해야 한다.

참고 문서와 각 제품별 권고 사항이 함께 제공되었으며, 일부 항목은 Siemens 고객 지원 또는 제품 지원 페이지를 통해 세부 정보를 확인하도록 안내했다.