公開日:2025/04/09 最終更新日:2025/04/23

JVNVU#90506697
Siemens製品に対するアップデート(2025年4月)

概要

Siemensから各製品向けのアップデートが公開されました。

影響を受けるシステム

影響を受ける製品は多岐に渡ります。詳細については各アドバイザリを参照してください。

詳細情報

Siemensから各製品向けのアップデートが公開されました。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

SSA-187636

  • 遠隔の高権限ユーザーによるroot権限での任意のコード実行
  • 遠隔の攻撃者による、デバイスのログファイルの読み取りまたは消去、デバイスのリセットまたは日時の設定
  • 認証不要でroot権限でのデバイス上の任意のファイルへのアクセス
  • 認証不要でSSH経由でのデバイスへのリモートアクセス
  • 遠隔の攻撃者による、デバイスのフルアクセス
  • 正規のデバイス管理者に悪意のあるリンクをクリックさせることによる任意のデバイス設定の変更
  • 攻撃者によるパスワードの変更
SSA-277137
  • サードパーティー製コンポーネントの脆弱性による影響(詳細は、開発者の提供する「SSA-277137」を参照)
SSA-525431
  • ローカルの低権限ユーザーによる管理者権限での任意のコード実行
  • ローカルの低権限ユーザーによる権限昇格
SSA-634640
  • 遠隔の攻撃者による、認証回避および正規ユーザーへのなりすまし
SSA-672923
  • ローカルの攻撃者による現プロセスのコンテキストでのコード実行
SSA-725549
  • 遠隔の攻撃者による、ICMPサービスへの一時的なサービス運用妨害(DoS)攻撃
SSA-817234
  • サードパーティー製コンポーネントの脆弱性による影響(詳細は、開発者の提供する「SSA-817234」を参照)
SSA-819629
  • 遠隔の攻撃者による、認証回避および正規ユーザーへのなりすまし
SSA-874353
  • 遠隔の攻撃者による、Mendix Runtimeベースのアプリケーションのすべての有効なエンティティと属性名の抽出
SSA-443402
  • 遠隔のユーザーまたは攻撃者による、認証制御の回避、アプリケーションデータベースの読み書き、NT AUTHORITY\NetworkService権限でのコード実行
SSA-395348
  • 遠隔の攻撃者による、サービス運用妨害(DoS)攻撃

対策方法

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。

ベンダ情報

ベンダ リンク
Siemens SSA-187636: Multiple Vulnerabilities in SENTRON 7KT PAC1260 Data Manager
SSA-277137: Multiple Vulnerabilities in SIDIS Prime Before V4.0.700
SSA-525431: Privilege Escalation Vulnerabilities in Siemens License Server Before V4.3
SSA-634640: Weak Authentication Vulnerability in Siemens Industrial Edge Devices
SSA-672923: Out of Bounds Write Vulnerability in Solid Edge
SSA-725549: Denial of Service of ICMP in Industrial Devices
SSA-817234: Multiple Kubernetes Ingress NGINX Controller Vulnerabilities in Insights Hub Private Cloud
SSA-819629: Weak Authentication Vulnerability in Industrial Edge Device Kit
SSA-874353: Entity Enumeration Vulnerability in Mendix Runtime
SSA-443402: Multiple SQL Injection Vulnerabilities in TeleControl Server Basic before V3.1.2.2
SSA-395348: Improper Handling of Length Parameter Inconsistency Vulnerability in TeleControl Server Basic before V3.1.2.2

参考情報

  1. ICS Advisory | ICSA-25-100-01
    Siemens License Server
  2. ICS Advisory | ICSA-25-100-02
    Siemens SIDIS Prime
  3. ICS Advisory | ICSA-25-100-03
    Siemens Solid Edge
  4. ICS Advisory | ICSA-25-100-04
    Siemens Industrial Edge Devices
  5. ICS Advisory | ICSA-25-100-05
    Siemens Insights Hub Private Cloud
  6. ICS Advisory | ICSA-25-100-06
    Siemens SENTRON 7KT PAC1260 Data Manager
  7. ICS Advisory | ICSA-25-105-01
    Siemens Mendix Runtime
  8. ICS Advisory | ICSA-25-105-02
    Siemens Industrial Edge Device Kit
  9. ICS Advisory | ICSA-25-105-03
    Siemens SIMOCODE, SIMATIC, SIPLUS, SIDOOR, SIWAREX
  10. ICS Advisory | ICSA-25-112-01
    Siemens TeleControl Server Basic SQL
  11. ICS Advisory | ICSA-25-112-02
    Siemens TeleControl Server Basic

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2025/04/11
[参考情報]にICS Advisoryのリンクを追加しました
2025/04/16
[参考情報]にICS Advisoryのリンクを追加しました
2025/04/17
[想定される影響]、[ベンダ情報]にSSA-443402およびSSA-395348の情報を追加しました
2025/04/23
[参考情報]にICS Advisoryのリンクを追加しました