JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月24日、「JVNVU#93761221: 複数のTrane製品におけるコードインジェクションの脆弱性」において、Traneの複数の製品にコードインジェクションの脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって該当ソフトウェアのコントローラフローが変更される危険性があるとされており注意が必要。

脆弱性に関する情報は次のページにまとまっている。

Trane Symbio | CISA
Trane Tracer | CISA

ィ脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

Symbio 700(Odyssey Split Systemsを含む)v1.00.0023より前のすべてのバージョン
Symbio 800(IntelliPak Rooftop Air Conditioner、Chiller Models:CenTraVac Simplex、CentraVac Duplex、ACR、RTAF、CMAF、HDWA.RTWF、CGWF、CXWF、CCUFおよびGVAFを含む)v1.00.0007より前のすべてのバージョン
Tracer SC v4.4 SP7より前のすべてのバージョン
Tracer SC+ v5.3 SP3より前のすべてのバージョン
Tracer Concierge v5.3 SP3より前のすべてのバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

Symbio 700 controllers:v1.00.0023およびこれより後のバージョン
Symbio 800 controllers:v1.00.0007およびこれより後のバージョン
Tracer SC:v4.4 SP7およびこれより後のバージョン(Tracer SCは2022年12月31日に保守終了となるため、Tracer SC+への移行が推奨されている)
Tracer SC+:v5.5 SP3およびこれより後のバージョン
Tracer Concierge:v5.5 SP3およびこれより後のバージョン

修正対象となっている脆弱性の一つは深刻度がCVSSv3で緊急(Critical)に分類されており注意が必要。JPCERT/CCは開発者の提供する情報に基づいてアップデートを適用することを推奨している。