公開日:2020/06/10 最終更新日:2022/12/14
JVNVU#97501786
Siemens 製品に対するアップデート(2020年6月)
Siemens から各製品向けのアップデートが公開されました。
影響を受ける製品やバージョンは環境により異なります。詳細については各アドバイザリを参照してください。
SSA-817401: Missing Authentication Vulnerability in SIEMENS
- LOGO!8 BM (SIPLUS variants を含む) すべてのバージョン
SSA-312271: Unquoted Search Path Vulnerabilities in Windows-based Industrial Software Applications
- SIMATIC Automation Tool V4 SP2 より前のバージョン
- SIMATIC NET PC Software V14 V14 SP1 Update 14 より前のバージョン
- SIMATIC NET PC Software V15 すべてのバージョン
- SIMATIC NET PC software V16 V16 Upd3 より前のバージョン
- SIMATIC PCS neo V3.0 SP1 より前のバージョン
- SIMATIC ProSave V17 より前のバージョン
- SIMATIC S7-1500 Software Controller V21.8 より前のバージョン
- SIMATIC STEP 7 V5.6 SP2 HF3 より前のバージョン
- SIMATIC STEP 7 (TIA Portal) V13 V13 SP2 Update 4 より前のバージョン
- SIMATIC STEP 7 (TIA Portal) V14 V14 SP1 Update 10 より前のバージョン
- SIMATIC STEP 7 (TIA Portal) V15 V15.1 Update 5 より前のバージョン
- SIMATIC STEP 7 (TIA Portal) V16 V16 Update 2 より前のバージョン
- SIMATIC WinCC OA V3.16 V3.16 P018 より前のバージョン
- SIMATIC WinCC OA V3.17 V3.17 P003 より前のバージョン
- SIMATIC WinCC Runtime Advanced V16 Update 2 よりのバージョン
- SIMATIC WinCC Runtime Professional V13 V13 SP2 Update 4 より前のバージョン
- SIMATIC WinCC Runtime Professional V14 V14 SP1 Update 10 より前のバージョン
- SIMATIC WinCC Runtime Professional V15 V15.1 Update 5 より前のすべてのバージョン
- SIMATIC WinCC Runtime Professional V16 V16 Update 2 より前のバージョン
- SIMATIC WinCC V7.4 V7.4 SP1 Update 14 より前のバージョン
- SIMATIC WinCC V7.5 V7.5 SP1 Update 3 より前のバージョン
- SINAMICS Startdrive V16 Update 3 より前のバージョン
- SINAMICS STARTER V5.4 HF2 より前のバージョン
- SINEC NMS V1.0 SP2 より前のバージョン
- SINEMA Server V14 SP3 より前のバージョン
- SINUMERIK ONE virtual V6.14 より前のすべてのバージョン
- SINUMERIK Operate V6.14 より前のすべてのバージョン
SSA-689942: Denial-of-Service and DLL Hijacking Vulnerabilities in Multiple SIMATIC Software Products
- SIMATIC PCS 7 v8.2 より前のすべてのバージョン
- SIMATIC PCS 7 v9.0 SP3 より前の v9系バージョン
- SIMATIC PDM v9.2 より前のすべてのバージョン
- SIMATIC STEP 7 v5.X v5.6 SP2 HF3 より前のすべてのバージョン
- SINAMICS STARTER (STEP 7 OEM バージョンを含む) v5.4 HF2 より前のすべてのバージョン
SSA-927095: Ultra VNC Vulnerabilities in SINUMERIK Products
- SINUMERIK Access MyMachine/P2P 4.8 より前のバージョン
- SINUMERIK PCU base Win10 software/IPC 14.00 より前のバージョン
- SINUMERIK PCU base Win7 software/IPC 12.01 HF4 より前のバージョン
Siemens から各製品向けのアップデートが公開されました。
遠隔の第三者による機器の構成変更
- SSA-817401
- CVE-2020-7589
- SSA-312271
- CVE-2020-7580
- SSA-689942
- CVE-2020-7585
- SSA-927095
- CVE-2018-15361
- CVE-2019-8258
- CVE-2019-8260
- CVE-2019-8261
- CVE-2019-8262
- CVE-2019-8264
- CVE-2019-8265
- CVE-2019-8266
- CVE-2019-8268
- CVE-2019-8271
- CVE-2019-8272
- CVE-2019-8273
- CVE-2019-8274
- CVE-2019-8275
- CVE-2019-8280
- SSA-312271
- CVE-2020-7586
- SSA-927095
- CVE-2019-8263
- CVE-2019-8267
- CVE-2019-8269
- CVE-2019-8270
- CVE-2019-8276
- SSA-817401
- CVE-2020-7589
- SSA-927095
- CVE-2019-8259
- CVE-2019-8277
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
なお、2020年6月10日現在、CVE-2020-7589、CVE-2020-7580 の一部製品、CVE-2020-7585 の一部製品、CVE-2020-7586 の一部製品に関する修正アップデートは提供されていません。
ワークアラウンドを実施する - CVE-2020-7589
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- LOGO! 8 BM のポート 135/TCP を無効にする
- インターネットからのアクセスを制限する
- 産業セキュリティ向け Siemens 運用ガイドラインを参照し、多層防御がされている環境を構築する
ワークアラウンドを実施する - CVE-2020-7580
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- 次のディレクトリに対象の実行ファイルが存在しない状態にする
- C:\Program.exe
- C:\Program Files\Common.exe
- C:\Program Files\Common Files\Siemens\Automation\Simatic.exe
- Windows サービスの TraceConceptX を停止する
ワークアラウンドを実施する - CVE-2020-7585、CVE-2020-7586
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- エンジニアリングステーションのプロジェクトファイルへのアクセスを制限する
- 信頼できるプロジェクトファイルのみ使用する
ワークアラウンドを実施する - CVE-2018-15361、CVE-2019-8258、CVE-2019-8259、CVE-2019-8260、CVE-2019-8261、CVE-2019-8262、CVE-2019-8263、CVE-2019-8264、CVE-2019-8265、CVE-2019-8266、CVE-2019-8267、CVE-2019-8268、CVE-2019-8269、CVE-2019-8270、CVE-2019-8271、CVE-2019-8272、CVE-2019-8273、CVE-2019-8274、CVE-2019-8275、CVE-2019-8276、CVE-2019-8277、CVE-2019-8280
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- 機器へのアクセス可能な IP アドレスを制限する
- インターネットからのアクセスを制限する
- 仮想プライベートネットワーク(VPN)など方法を使用する
-
ICS Advisory (ICSA-20-161-03)
Siemens LOGO! -
ICS Advisory (ICSA-20-161-04)
Siemens SIMATIC, SINAMICS, SINEC, SINEMA, SINUMERIK -
ICS Advisory (ICSA-20-161-05)
Siemens SIMATIC, SINAMICS -
ICS Advisory (ICSA-20-161-06)
Siemens SINUMERIK
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2020-7589 |
|
CVE-2020-7580 |
|
|
CVE-2020-7585 |
|
|
CVE-2020-7586 |
|
|
CVE-2018-15361 |
|
|
CVE-2019-8258 |
|
|
CVE-2019-8259 |
|
|
CVE-2019-8260 |
|
|
CVE-2019-8261 |
|
|
CVE-2019-8262 |
|
|
CVE-2019-8263 |
|
|
CVE-2019-8264 |
|
|
CVE-2019-8265 |
|
|
CVE-2019-8266 |
|
|
CVE-2019-8267 |
|
|
CVE-2019-8268 |
|
|
CVE-2019-8269 |
|
|
CVE-2019-8270 |
|
|
CVE-2019-8271 |
|
|
CVE-2019-8272 |
|
|
CVE-2019-8273 |
|
|
CVE-2019-8274 |
|
|
CVE-2019-8275 |
|
|
CVE-2019-8276 |
|
|
CVE-2019-8277 |
|
|
CVE-2019-8280 |
|
| JVN iPedia |
- 2020/07/15
- [影響を受けるシステム] を更新しました
- 2020/09/09
- [影響を受けるシステム] を更新しました
- 2020/12/09
- [影響を受けるシステム] および [対策方法] を更新しました
- 2021/01/13
- [影響を受けるシステム] を更新しました
- 2021/03/10
- [タイトル]、[影響を受けるシステム] における SSA-312271 の箇所を更新しました
- 2021/04/16
- [影響を受けるシステム] を更新しました
- 2021/06/10
- [影響を受けるシステム] を更新しました
- 2021/09/15
- [影響を受けるシステム] における SSA-312271 の箇所を更新しました
- 2021/11/11
- [影響を受けるシステム] における SSA-312271 の箇所を更新しました
- 2022/04/13
- [影響を受けるシステム] における SSA-312271 の箇所を更新しました
- 2022/12/14
- [想定される影響] における SSA-312271 の箇所を更新しました
