公開日:2023/03/15 最終更新日:2023/03/22

JVNVU#99752892
Siemens製品に対するアップデート(2023年3月)

概要

Siemensから各製品向けのアップデートが公開されました。

影響を受けるシステム

影響を受ける製品は多岐に渡ります。詳細については各アドバイザリを参照してください。

詳細情報

Siemensから各製品向けのアップデートが公開されました。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

SSA-203374

  • 遠隔の第三者による暗号化されたメッセージの復号
  • 遠隔の第三者によるサービス運用妨害(DoS)攻撃
  • 遠隔の第三者によるメモリ内情報の窃取、サービス運用妨害(DoS)攻撃
SSA-260625
  • 低権限ユーザによる不正な操作
  • 高権限ユーザによる、低権限ユーザの管理グループへの不正登録
SSA-320629
  • 低権限ユーザによる機微な情報の窃取
  • 低権限ユーザによる任意のデータベースクエリ実行
SSA-419740
  • サードパーティーコンポーネントの複数の脆弱性による、様々な影響(詳細は、開発者の提供する「SSA-419740」を参照)
SSA-565386
  • サードパーティーコンポーネントの複数の脆弱性による、様々な影響(詳細は、開発者の提供する「SSA-565386」を参照)
SSA-726834
  • 遠隔の第三者によるサービス運用妨害(DoS)攻撃
SSA-851884
  • 遠隔の第三者による認証の回避

対策方法

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。

参考情報

  1. ICS Advisory | ICSA-23-075-01
    Siemens SCALANCE, RUGGEDCOM Third-Party
  2. ICS Advisory | ICSA-23-075-02
    Siemens RUGGEDCOM CROSSBOW V5.3
  3. ICS Advisory | ICSA-23-075-03
    Siemens RUGGEDCOM CROSSBOW V5.2
  4. ICS Advisory | ICSA-23-075-04
    Siemens SCALANCE W1750D Devices
  5. ICS Advisory | ICSA-23-075-05
    Siemens Mendix SAML Module
  6. ICS Advisory | ICSA-23-080-04
    Siemens RADIUS Client of SIPROTEC 5 Devices
  7. ICS Advisory | ICSA-23-080-07
    Siemens SCALANCE Third-Party

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2023/03/17
[参考情報]にICS Advisoryのリンクを追加しました
2023/03/22
[参考情報]にICS Advisoryのリンクを追加しました