公開日:2024/12/11 最終更新日:2024/12/17

JVNVU#91750786
Siemens製品に対するアップデート(2024年12月)

概要

Siemensから各製品向けのアップデートが公開されました。

影響を受けるシステム

影響を受ける製品は多岐に渡ります。詳細については各アドバイザリを参照してください。

詳細情報

Siemensから各製品向けのアップデートが公開されました。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

SSA-128393

  • 当該製品に物理的にアクセスできる攻撃者による暗号化されたすべての更新ファイルの復号化
SSA-384652
  • デバイス設定の読み取りおよび改ざん
SSA-392859
  • ローカルの低権限ユーザーによるホストOS上での任意のコマンド実行
SSA-620799
  • サードパーティーコンポーネントの脆弱性による影響(詳細は、開発者の提供する「SSA-620799」を参照)
SSA-645131
  • 現プロセスのコンテキストでのコード実行
  • アプリケーションのクラッシュおよびサービス運用妨害(DoS)攻撃
SSA-701627
  • システム上の既知の場所にあるファイルやネットワークフォルダ内のファイルの抽出
SSA-730188
  • 現プロセスのコンテキストでのコード実行
SSA-800126
  • 型の取り違えおよび任意のコード実行
SSA-881356
  • 現プロセスのコンテキストでのコード実行
SSA-979056
  • 現プロセスのコンテキストでのコード実行
SSA-928984
  • 遠隔の攻撃者による任意のコード実行

対策方法

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。

ベンダ情報

ベンダ リンク
Siemens SSA-128393: Firmware Decryption Vulnerability in SICAM A8000 CP-8031 and CP-8050
SSA-384652: Cross-Site Request Forgery (CSRF) Vulnerability in RUGGEDCOM ROX II
SSA-392859: Local Arbitrary Code Execution Vulnerability in Siemens Engineering Platforms before V20
SSA-620799: Denial of Service Vulnerability During BLE Pairing in SENTRON Powercenter 1000/1100
SSA-645131: Multiple WRL File Parsing Vulnerabilities in Teamcenter Visualization
SSA-701627: XXE Injection Vulnerabilities in COMOS
SSA-730188: Multiple File Parsing Vulnerabilities in Solid Edge V2024
SSA-800126: Deserialization Vulnerability in Siemens Engineering Platforms before V20
SSA-881356: Multiple Memory Corruption Vulnerabilities in Simcenter Femap
SSA-979056: Out of Bounds Write Vulnerability in Parasolid
SSA-928984: Heap-based Buffer Overflow Vulnerability in User Management Component (UMC)

参考情報

  1. ICS Advisory | ICSA-24-347-01
    Siemens CPCI85 Central Processing/Communication
  2. ICS Advisory | ICSA-24-347-02
    Siemens Engineering Platforms
  3. ICS Advisory | ICSA-24-347-03
    Siemens RUGGEDCOM ROX II
  4. ICS Advisory | ICSA-24-347-04
    Siemens Parasolid
  5. ICS Advisory | ICSA-24-347-05
    Siemens Engineering Platforms
  6. ICS Advisory | ICSA-24-347-06
    Siemens Simcenter Femap
  7. ICS Advisory | ICSA-24-347-07
    Siemens Solid Edge SE2024
  8. ICS Advisory | ICSA-24-347-08
    Siemens COMOS
  9. ICS Advisory | ICSA-24-347-09
    Siemens Teamcenter Visualization
  10. ICS Advisory | ICSA-24-347-10
    Siemens SENTRON Powercenter 1000

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2024/12/13
[参考情報]にICS Advisoryのリンクを追加しました
2024/12/17
[想定される影響]、[ベンダ情報]にSSA-928984の情報を追加しました