公開日:2023/06/14 最終更新日:2023/07/12

JVNVU#99464755
Siemens製品に対するアップデート(2023年6月)

概要

Siemensから各製品向けのアップデートが公開されました。

影響を受けるシステム

影響を受ける製品は多岐に渡ります。詳細については各アドバイザリを参照してください。

詳細情報

Siemensから各製品向けのアップデートが公開されました。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

SSA-042050

  • ローカルの第三者による過去バージョンのプロジェクトファイルの復元
SSA-482956
  • 当該デバイスに物理的にアクセス可能な第三者による機微な情報の窃取
SSA-508677
  • 高権限ユーザによるレガシーOPCサービスの利用
SSA-538795
  • ローカルの第三者によるサービス運用妨害(DoS)攻撃
  • ローカルの第三者による機密情報の漏えい
  • ローカルの第三者によるコード実行
SSA-731916
  • 遠隔の高権限ユーザによるroot権限での任意のコード実行
  • 当該デバイスに物理的にアクセス可能な第三者による不正ログイン
  • 当該デバイスに物理的にアクセス可能な第三者によるrootパスワードに対するブルートフォース攻撃
SSA-794697
  • サードパーティーコンポーネントの複数の脆弱性による、様々な影響(詳細は、開発者の提供する「SSA-794697」を参照)
SSA-831302
  • サードパーティーコンポーネントの複数の脆弱性による、様々な影響(詳細は、開発者の提供する「SSA-831302」を参照)
SSA-887249
  • 遠隔の第三者による正規ユーザへのなりすまし
  • 低権限ユーザによるサービス運用妨害(DoS)攻撃、任意のコード実行
  • 遠隔の第三者による当該デバイス上での任意のアクション実行
  • 低権限ユーザによる正規ユーザへのなりすまし
SSA-914026
  • 低権限ユーザによる任意のコード実行、権限昇格
SSA-942865
  • サードパーティーコンポーネントの複数の脆弱性による、様々な影響(詳細は、開発者の提供する「SSA-942865」を参照)
SSA-968170
  • 遠隔の第三者によるコード実行
SSA-975766
  • ローカルの第三者によるコード実行

対策方法

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。

参考情報

  1. ICS Advisory | ​​ICSA-23-166-03
    Siemens SICAM Q200 Devices
  2. ICS Advisory | ​​ICSA-23-166-04
    Siemens SIMOTION
  3. ICS Advisory | ​​ICSA-23-166-05
    Siemens SIMATIC WinCC
  4. ICS Advisory | ​​ICSA-23-166-06
    Siemens TIA Portal
  5. ICS Advisory | ​​ICSA-23-166-07
    Siemens SIMATIC WinCC V7
  6. ICS Advisory | ​​ICSA-23-166-08
    Siemens SIMATIC STEP 7 and Derived Products
  7. ICS Advisory | ​​ICSA-23-166-09
    Siemens Solid Edge
  8. ICS Advisory | ​​ICSA-23-166-10
    Siemens SIMATIC S7-1500 TM MFP BIOS
  9. ICS Advisory | ​​ICSA-23-166-11
    Siemens SIMATIC S7-1500 TM MFP Linux Kernel
  10. ICS Advisory | ​​ICSA-23-166-12
    Siemens SINAMICS Medium Voltage Products
  11. ICS Advisory | ​​ICSA-23-166-13
    Siemens SICAM A8000 Devices
  12. ICS Advisory | ​​ICSA-23-166-14
    Siemens Teamcenter Visualization and JT2Go

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2023/06/16
[参考情報]にICS Advisoryのリンクを追加しました
2023/07/12
[想定される影響]におけるSSA-968170の箇所を更新しました