公開日:2022/04/13 最終更新日:2022/04/15

JVNVU#91165555
Siemens製品に対するアップデート(2022年4月)

概要

Siemensから各製品向けのアップデートが公開されました。

影響を受けるシステム

影響を受ける製品は多岐に渡ります。詳細については各アドバイザリを参照してください。

詳細情報

Siemensから各製品向けのアップデートが公開されました。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

SSA-316850

  • 遠隔の第三者によるファイルダウンロード
SSA-350757
  • 高権限ユーザによる権限昇格
SSA-392912
  • 隣接ネットワーク上の第三者によるデバイスのクラッシュ
  • 隣接ネットワーク上の第三者によるサービス運用妨害(DoS)攻撃
SSA-414513
  • 遠隔の第三者による情報窃取
SSA-446448
  • 遠隔の第三者によるサービス運用妨害(DoS)攻撃
SSA-557541
  • 遠隔の第三者によるサービス運用妨害(DoS)攻撃
SSA-655554
  • ユーザによる権限昇格およびコード実行
  • 遠隔の第三者による任意のコード実行
SSA-711829
  • 遠隔の第三者によるサービス運用妨害(DoS)攻撃
SSA-836527
  • 隣接ネットワーク上の第三者によるデバイスのクラッシュ
  • 遠隔の第三者によるセッションIDへのブルートフォース攻撃とセッションハイジャック
  • 遠隔のユーザによる任意のコード実行
  • 隣接ネットワーク上の第三者によるユーザ権限での操作
  • 隣接ネットワーク上の第三者によるセッション情報の窃取
  • 隣接ネットワーク上の第三者によるクロスサイトスクリプティング攻撃
  • 隣接ネットワーク上のユーザによるデバイスのクラッシュ
  • 隣接ネットワーク上の第三者によるデバイスのクラッシュ
  • 隣接ネットワーク上の第三者によるデバイスのリブート
SSA-870917
  • 遠隔のユーザによる情報窃取
SSA-998762
  • ユーザによるコード実行
  • ユーザによる情報窃取

対策方法

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。

ベンダ情報

ベンダ リンク
Siemens SSA-316850: Unauthenticated File Access in SICAM A8000 Devices
SSA-350757: Improper Access Control Vulnerability in TIA Portal Affecting S7-1200 and S7-1500 CPUs Web Server (Incl. Related ET200 CPUs and SIPLUS variants)
SSA-392912: Multiple Denial Of Service Vulnerabilities in SCALANCE W1700 Devices
SSA-414513: Information Disclosure Vulnerability in Mendix
SSA-446448: Denial of Service Vulnerability in PROFINET Stack Integrated on Interniche Stack
SSA-557541: Denial-of-Service Vulnerability in SIMATIC S7-400 CPUs
SSA-655554: Multiple Vulnerabilities in SIMATIC Energy Manager before V7.3 Update 1
SSA-711829: Denial of Service Vulnerability in TIA Administrator
SSA-836527: Multiple Vulnerabilities in SCALANCE X-300 Switch Family Devices
SSA-870917: Improper Access Control Vulnerability in Mendix
SSA-998762: File Parsing Vulnerabilities in Simcenter Femap before V2022.1.2

参考情報

  1. ICS Advisory (ICSA-22-104-06)
    Siemens PROFINET Stack Integrated on Interniche Stack
  2. ICS Advisory (ICSA-22-104-07)
    Siemens Mendix
  3. ICS Advisory (ICSA-22-104-08)
    Siemens SCALANCE W1700
  4. ICS Advisory (ICSA-22-104-09)
    Siemens SCALANCE X-300 Switches
  5. ICS Advisory (ICSA-22-104-10)
    Siemens SICAM A8000
  6. ICS Advisory (ICSA-22-104-11)
    Siemens SIMATIC Energy Manager
  7. ICS Advisory (ICSA-22-104-12)
    Siemens SIMATIC S7-400
  8. ICS Advisory (ICSA-22-104-14)
    Siemens SIMATIC STEP 7 (TIA Portal)
  9. ICS Advisory (ICSA-22-104-15)
    Siemens Simcenter Femap
  10. ICS Advisory (ICSA-22-104-16)
    Siemens TIA Administrator
  11. ICS Advisory (ICSA-22-104-17)
    Siemens Mendix

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/04/15
[参考情報]にICS Advisoryのリンクを追加しました。