EnOcean SmartServer IoTの重大な脆弱性がリモートコード実行を可能に

EnOcean SmartServer IoTの重大な脆弱性がリモート攻撃のリスクをもたらす

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、EnOcean SmartServer IoTに存在する複数の重大な脆弱性を公表しました。これらの脆弱性により、攻撃者はリモートで任意のコードを実行したり、**アドレス空間配置のランダム化（ASLR）**のセキュリティ保護をバイパスしたりする可能性があります。このアドバイザリは、ICSA-26-050-01として公開され、運用技術（OT）環境に深刻なリスクをもたらすことが指摘されています。

脆弱性の技術的詳細

影響を受ける製品であるEnOcean SmartServer IoTは、ビルディングオートメーションやIoTデバイス管理に使用されています。脆弱性の影響を受けるバージョンは以下の通りです：

• SmartServer IoT（バージョン4.0.1.49より前の全て）
• SmartServer IoT Edge（バージョン4.0.1.49より前の全て）

CISAのアドバイザリでは、主に2つの脆弱性が特定されています：

1. CVE-2026-25544 – **リモートコード実行（RCE）**の脆弱性で、認証されていない攻撃者が脆弱なシステム上で任意のコマンドを実行できる可能性があります。
2. CVE-2026-25545 – ASLRバイパスの脆弱性で、メモリ保護メカニズムが弱まり、攻撃成功の可能性が高まります。

現在のところ、これらの脆弱性を悪用した公開エクスプロイトは確認されていませんが、その深刻度から早急な対応が求められます。

影響分析

これらの脆弱性が悪用されると、以下のような影響が生じる可能性があります：

• ビルディングオートメーションシステムの不正な制御。
• HVAC、照明、セキュリティシステムなどの重要なOT運用の混乱。
• ネットワーク内での横移動（Lateral Movement）、さらなるIoTや産業用制御システム（ICS）への侵害リスク。

EnOcean SmartServer IoTは商業施設や産業施設で広く使用されているため、これらの脆弱性は物理的およびサイバーセキュリティインフラに重大なリスクをもたらします。

推奨される対策

CISAは、影響を受けるバージョンを使用している組織に対し、以下の対策を推奨しています：

1. 最新のパッチ（v4.0.1.49以降）を直ちに適用し、両方の脆弱性を緩和する。
2. OTネットワークを企業IT環境から分離し、露出を制限する。
3. 侵入検知/防御システム（IDS/IPS）を使用して不審な活動を監視する。
4. SmartServer IoTデバイスへのリモートアクセスを制限し、厳格な認証制御を実施する。

詳細については、完全なCSAFアドバイザリを参照してください。

CISAによる元のアドバイザリ：ICSA-26-050-01