公開日:2022/02/09 最終更新日:2022/08/12

JVNVU#98748974
Siemens製品に対するアップデート(2022年2月)

概要

Siemensから各製品向けのアップデートが公開されました。

影響を受けるシステム

影響を受ける製品は多岐に渡ります。詳細については各アドバイザリを参照してください。

詳細情報

Siemensから各製品向けのアップデートが公開されました。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

SSA-244969

  • 遠隔の第三者によるサービス運用妨害 (DoS) 攻撃、情報漏えい
SSA-301589
  • 第三者によるコード実行
SSA-539476
  • 遠隔の第三者によるサービス運用妨害 (DoS) 攻撃、(可能性は低いが)コード実行
SSA-609880
  • 第三者によるコード実行
SSA-654775
  • 遠隔の第三者による認証済みユーザに対するフィッシング攻撃
SSA-669737
  • 遠隔のユーザによるデータベースアクセス
SSA-831168
  • 遠隔の第三者によるクロスサイトスクリプティング
SSA-838121
  • 遠隔の第三者によるサービス運用妨害 (DoS) 攻撃
SSA-914168
  • 遠隔のユーザによるパスワード不正入手によるサーバログイン
  • ローカルシステムのアカウント乗っ取り
SSA-978692
  • 遠隔の第三者による任意のコード実行
  • 遠隔の第三者による情報窃取
SSA-949188
  • 第三者によるコード実行
SSA-306654
  • 特権ユーザーによる任意のコード実行
  • ユーザによるファームウェアまたはOSメモリの破損
  • 特権ユーザによるSMRAM、MMIO、またはOSカーネルアドレスの利用
  • 第三者によるSMM (System Management Mode) への権限昇格
  • 特権ユーザによるSMMへのアクセス
  • 第三者によるバッファーオーバーフロー
  • 物理アクセス可能なユーザによる、UEFI変数内のパスワードハッシュを利用した権限昇格
  • 物理アクセス可能な高権限ユーザによるリソースの枯渇と障害
  • HDDパスワードの平文保存

対策方法

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。

参考情報

  1. ICS Advisory (ICSA-22-041-01)
    Siemens SIMATIC Industrial Products
  2. ICS Advisory (ICSA-22-041-02)
    Siemens SIMATIC WinCC and PCS
  3. ICS Advisory (ICSA-22-041-03)
    Siemens Simcenter Femap
  4. ICS Advisory (ICSA-22-041-04)
    SINEMA Remote Connect Server
  5. ICS Advisory (ICSA-22-041-05)
    SICAM TOOLBOX II
  6. ICS Advisory (ICSA-22-041-06)
    Siemens Spectrum Power 4
  7. ICS Advisory (ICSA-22-041-07)
    Siemens Solid Edge, JT2Go, and Teamcenter Visualization
  8. ICS Advisory (ICSA-22-069-10)
    Siemens Simcenter Femap
  9. ICS Advisory (ICSA-22-223-06)
    Siemens SICAM TOOLBOX II

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/02/14
[参考情報]にICS Advisoryのリンクを追加しました。
2022/02/18
[想定される影響]、[ベンダ情報]にSSA-949188の情報を追加しました。
2022/02/25
[想定される影響]、[ベンダ情報]にSSA-306654の情報を追加しました。
2022/03/09
[想定される影響]のSSA-306654の情報を更新しました。
2022/03/11
[参考情報]にICS Advisoryのリンクを追加しました。ICS AdvisoryのURLを修正しました。
2022/07/13
[想定される影響]のSSA-306654の情報を更新しました。
2022/08/12
[参考情報]にICS Advisoryのリンクを追加しました。