公開日:2022/10/12 最終更新日:2023/06/14

JVNVU#92214181
Siemens製品に対するアップデート(2022年10月)

概要

Siemensから各製品向けのアップデートが公開されました。

影響を受けるシステム

影響を受ける製品は多岐に渡ります。詳細については各アドバイザリを参照してください。

詳細情報

Siemensから各製品向けのアップデートが公開されました。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

SSA-258115

  • ローカルの第三者によって、コード実行される
SSA-313313
  • 遠隔の第三者によって、サービス運用妨害(DoS)状態にされる
SSA-360783
  • 遠隔の低権限ユーザによって、任意のシステムコマンドを実行される
  • 遠隔の低権限ユーザによって、機微なファイルを読み取られる
  • 遠隔の低権限ユーザによって、任意のJavaScriptコードを実行される
  • 遠隔の第三者によって、任意のAxonクエリを実行される
  • 遠隔の第三者によって、任意のJavaScriptコードのアップロードおよび永続的な有効化が行われる
  • 遠隔の低権限ユーザによって、デバイスへのさまざまな攻撃(任意のファイル読み取り、JavaScriptコード実行、DoSなど)が行われる
  • 遠隔のユーザによって、Chromiumベースの組み込みブラウザの脆弱性を悪用される
SSA-384224
  • 遠隔の第三者によって、サービス運用妨害(DoS)状態にされる
SSA-501891
  • 遠隔の第三者によって、セッションを乗っ取られる
SSA-552702
  • 遠隔の低権限ユーザによって、権限昇格される
SSA-568427
  • ローカルの第三者によって秘密鍵を取得され、機密情報を窃取されたり、デバイス間通信への攻撃を行われたりする
SSA-572005
  • 遠隔の第三者によって、他のユーザのセッションを乗っ取られる
  • 遠隔の第三者によって、サービス運用妨害(DoS)状態にされたり、任意のコード実行をされたりする
  • 遠隔の低権限ユーザによって、サービス運用妨害(DoS)状態にされたり、任意のコード実行をされたりする
SSA-611756
  • ローカルの第三者によって、任意のコード実行される
SSA-649853
  • 遠隔の第三者によって、信頼できるエンティティになりすまされる
SSA-697140
  • 遠隔の第三者によって、サービス運用妨害(DoS)状態にされたり、他のネットワークリソースへ影響を与えられたりする
SSA-836027
  • 遠隔の第三者によって、他のユーザになりすまされたり、認証なしでクライアントサーバプロトコルを悪用されたりする
SSA-928782
  • デバイスに物理アクセス可能な第三者によって、不正にファームウェアをアップデートされる
SSA-935500
  • 遠隔の第三者によって、サービス運用妨害(DoS)状態にされる
SSA-955858
  • 遠隔の第三者によって、カスタムコードを実行される
  • 遠隔の第三者によって、デバイスのIPアドレスを変更される
  • 遠隔の第三者によって、メモリのコンテンツの一部を窃取される
SSA-640732
  • 遠隔の第三者によって、アプリケーションにアクセスされる

対策方法

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。

ベンダ情報

ベンダ リンク
Siemens SSA-258115: DWG File Parsing Vulnerability in Solid Edge before SE2022MP9
SSA-313313: Denial of Service Vulnerability in the FTP Server of Nucleus RTOS
SSA-360783: Multiple Webserver Vulnerabilities in Desigo PXM Devices
SSA-384224: Denial of Service Vulnerability in SIMATIC HMI Panels
SSA-501891: Cross-Site Scripting Vulnerability in SCALANCE X-200 and X-200IRT Families
SSA-552702: Privilege Escalation Vulnerability in the Web Interface of SCALANCE and RUGGEDCOM Products
SSA-568427: Weak Key Protection Vulnerability in SIMATIC S7-1200 and S7-1500 CPU Families
SSA-572005: Vulnerabilities in the Web Server of SICAM P850 and SICAM P855 Devices
SSA-611756: JT File Parsing Vulnerability in JTTK and Simcenter Femap
SSA-649853: Improper Certificate Validation Vulnerability in Industrial Edge Management
SSA-697140: Denial of Service Vulnerability in the TCP Event Service of SCALANCE and RUGGEDCOM Products
SSA-836027: Client-side Authentication in Desigo CC and Cerberus DMS
SSA-928782: Firmware Authenticity Vulnerability in LOGO! 8 BM Devices
SSA-935500: Denial of Service Vulnerability in FTP Server of Nucleus RTOS based APOGEE, TALON and Desigo PXC/PXM Products
SSA-955858: Multiple Vulnerabilities in LOGO! 8 BM Devices
SSB-898115: Remarks Regarding SSA-568427 (Weak Key Protection Vulnerability in SIMATIC S7-1200 and S7-1500 CPU Families)
SSA-640732: Authentication Bypass Vulnerability in Siveillance Video Mobile Server

参考情報

  1. ICS Advisory (ICSA-22-286-01)
    Siemens LOGO!
  2. ICS Advisory (ICSA-22-286-02)
    Siemens Industrial Edge Management
  3. ICS Advisory (ICSA-22-286-03)
    Siemens Solid Edge
  4. ICS Advisory (ICSA-22-286-04)
    Siemens SIMATIC S7-1200 and S7-1500 CPU Families
  5. ICS Advisory (ICSA-22-286-06)
    Siemens Desigo PXM Devices
  6. ICS Advisory (ICSA-22-286-07)
    Siemens Nucleus RTOS FTP Server
  7. ICS Advisory (ICSA-22-286-08)
    Siemens TCP Event Service of SCALANCE And RUGGEDCOM Devices
  8. ICS Advisory (ICSA-22-286-09)
    Siemens SICAM P850 and P855 Devices
  9. ICS Advisory (ICSA-22-286-10)
    Siemens JT Open Toolkit and Simcenter Femap
  10. ICS Advisory (ICSA-22-286-11)
    Siemens SCALANCE and RUGGEDCOM Products
  11. ICS Advisory (ICSA-22-286-12)
    Siemens APOGEE, TALON and Desigo PXC/PXM Products
  12. ICS Advisory (ICSA-22-286-13)
    Siemens LOGO! 8 BM Devices
  13. ICS Advisory (ICSA-22-286-14)
    Siemens SIMATIC HMI Panels
  14. ICS Advisory (ICSA-22-286-15)
    Siemens SCALANCE X-200 and X-200IRT Families
  15. ICS Advisory (ICSA-22-286-16)
    Siemens Desigo CC and Cerberus DMS
  16. ICS Advisory (ICSA-22-298-03)
    Siemens Siveillance Video Mobile Server

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/10/14
[参考情報]にICS Advisoryのリンクを追加しました
2022/10/24
[想定される影響]、[ベンダ情報]にSSA-640732の情報を追加しました
2022/10/26
[参考情報]にICS Advisoryのリンクを追加しました
2022/12/14
[想定される影響]のSSA-572005の情報を更新しました
2023/06/14
[想定される影響]のSSA-572005の情報を更新しました