公開日:2023/01/11 最終更新日:2023/01/18

JVNVU#90782730
Siemens製品に対するアップデート(2023年1月)

概要

Siemensから各製品向けのアップデートが公開されました。

影響を受けるシステム

影響を受ける製品は多岐に渡ります。詳細については各アドバイザリを参照してください。

詳細情報

Siemensから各製品向けのアップデートが公開されました。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

SSA-332410

  • 遠隔の第三者による任意のコマンド実行
  • 遠隔の第三者によるメモリ内情報の窃取
  • 遠隔の第三者によるコード実行
  • 遠隔の第三者によるOSコマンド実行
  • 遠隔の第三者によるHTTPリクエストスマグリング攻撃
  • 遠隔の第三者によるopenssl.cnfへのアクセス
  • 遠隔の第三者による機微な情報の窃取
  • 低権限ユーザによる任意のファイルの読み書き、任意のコード実行
  • 高権限ユーザによるdhcpd構成へのコマンド挿入、任意のコード実行
SSA-476715
  • 遠隔の第三者によるファイル名の書き換え、ファイルの移動
  • 遠隔の第三者による不正なファイル操作、コード実行
SSA-482757
  • 当該デバイスに物理的にアクセス可能な第三者によるブートイメージの置き換え、任意のコード実行
SSA-496604
  • 遠隔の第三者による機微な情報の窃取
SSA-936212
  • ローカルの第三者によるコード実行
SSA-997779
  • ローカルの第三者によるコード実行

対策方法

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。

ベンダ情報

ベンダ リンク
Siemens SSA-332410: Multiple Vulnerabilities in SINEC INS before V1.0 SP2 Update 1
SSA-476715: Two Vulnerabilities in Automation License Manager
SSA-482757: Missing Immutable Root of Trust in S7-1500 CPU devices
SSA-496604: Cross-Site Scripting Vulnerability in Mendix SAML Module
SSA-936212: JT File Parsing Vulnerabilities in JT Open, JT Utilities and Solid Edge
SSA-997779: File Parsing Vulnerability in Solid Edge before V2023 MP1

参考情報

  1. ICS Advisory (ICSA-23-012-08)
    Siemens S7-1500 CPU devices
  2. ICS Advisory (ICSA-23-012-09)
    Siemens Mendix SAML Module
  3. ICS Advisory (ICSA-23-012-10)
    Siemens Automation License Manager
  4. ICS Advisory (ICSA-23-012-11)
    Siemens Solid Edge before V2023 MP1
  5. ICS Advisory (ICSA-23-017-03)
    Siemens SINEC INS

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2023/01/13
[参考情報]にICS Advisoryのリンクを追加しました
2023/01/18
[参考情報]にICS Advisoryのリンクを追加しました