개요
Siemens는 공급한 다수 제품의 취약점을 해결하는 보안 업데이트를 발표했다. 대상은 AI Lightweight Inference Server, Connector for Azure, Databus, HiMed Cockpit, SCALANCE 계열, SIMATIC 계열, SINEC 계열, SINAMICS 계열, SIPLUS NET, SITRANS, Shopfloor IT Suite, Siemens OPC UA Modelling Editor (SiOME), User Management Component (UMC), Visual Inspection Cockpit 등이다.
확인된 취약점
- OpenSSL affecting Siemens Products에서 발생하는 경계값을 벗어난 쓰기 취약점(CVE-2025-15467, CVSS 9.8).
- SINEC INS Before V1.0 SP2 Update 6에서 발생하는 비밀번호 해싱 구현상의 취약점(CVE-2026-46749, CVSS 7.5).
- SINEC INS Before V1.0 SP2 Update 6에서 발생하는 특수 요소 검증 미흡 취약점(CVE-2026-46746, CVSS 8.8).
- SINEC INS Before V1.0 SP2 Update 6에서 발생하는 권한 상승 취약점(CVE-2026-46748, CVSS 8.8).
- WinCC Certificate Manager에서 발생하는 키 재료의 불충분한 보호에 따른 정보 노출 취약점(CVE-2026-24349, CVSS 7.1).
대응 방안
Siemens는 2026년 06월 09일 업데이트를 통해 패치 또는 완화 방안을 제공했다. 주요 조치로는 SINEC INS V1.0 SP2 Update 6 및 이후 버전, Connector for Azure V1.8.0 및 이후 버전, Databus V3.3.2 및 이후 버전, SIMATIC HMI Basic Panels V17.9 및 이후 버전, SIMATIC HMI Comfort Panels V17.9 및 이후 버전, SIMATIC HMI Mobile Panels V17 Update 9 및 이후 버전, SIMATIC STEP 7 V5 V5.7 SP4 및 이후 버전, SIMATIC WinCC OA V3.19 P024 및 이후 버전, V3.20 P012 및 이후 버전, V3.21 P02 및 이후 버전, SIMATIC WinCC Runtime Advanced V17 Update 9 및 이후 버전, SIMATIC WinCC Unified Sequence V21 및 이후 버전, User Management Component (UMC) V2.15.3.0 및 이후 버전, SIMATIC WinCC Unified PC Runtime V21 Update 2 및 이후 버전으로의 업데이트가 제시됐다.
참고
공개된 취약점 정보는 SSA-860189, SSA-434797, SSA-063511 문서를 통해 제공됐다.