公開日:2023/10/11 最終更新日:2023/10/13

JVNVU#98753493
Siemens製品に対するアップデート(2023年10月)

概要

Siemensから各製品向けのアップデートが公開されました。

影響を受けるシステム

影響を受ける製品は多岐に渡ります。詳細については各アドバイザリを参照してください。

詳細情報

Siemensから各製品向けのアップデートが公開されました。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

SSA-035466

  • 低権限ユーザによる情報の窃取、改ざん
  • 低権限ユーザによる権限昇格
SSA-134651
  • 遠隔の第三者による当該デバイスへのログイン
SSA-160243
  • 低権限ユーザによる権限昇格
  • 遠隔の第三者によるアプリケーションデータの変更
SSA-295483
  • 遠隔の第三者による有効なユーザ情報を利用した総当たり攻撃
SSA-386812
  • 遠隔の第三者による任意のコード実行
SSA-524778
  • ローカルの第三者によるコード実行
SSA-594373
  • 遠隔の第三者による任意のコード実行
SSA-647455
  • サードパーティーコンポーネントの複数の脆弱性による、様々な影響(詳細は、開発者の提供する「SSA-647455」を参照)
SSA-770890
  • 低権限ユーザによる任意のファイルダウンロード、権限昇格
SSA-784849
  • 高権限ユーザによる任意のコード実行
  • 高権限ユーザによるサービス運用妨害(DoS)攻撃
SSA-829656
  • ローカルの第三者による任意のコード実行
SSA-843070
  • 遠隔の第三者による任意のコード実行
  • 遠隔の第三者によるサービス運用妨害(DoS)攻撃
  • 高権限ユーザによる任意のコマンド実行
  • 低権限ユーザによる情報漏えい

対策方法

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。

ベンダ情報

ベンダ リンク
Siemens SSA-035466: Incorrect Permission Assignment in SICAM PAS/PQS
SSA-134651: Hard Coded SSH ID in CPCI85 Firmware of SICAM A8000 Devices
SSA-160243: Multiple Vulnerabilities in SINEC NMS before V2.0
SSA-295483: User Enumeration Vulnerability in Mendix Forgot Password Module
SSA-386812: Remote Code Execution Vulnerability in Simcenter Amesim before V2021.1
SSA-524778: File Parsing Vulnerabilities in Tecnomatix Plant Simulation
SSA-594373: Cross-Site-Scripting (XSS) Vulnerability in SINEMA Server V14
SSA-647455: Multiple Vulnerabilities in Nozomi Guardian/CMC before 22.6.2 on RUGGEDCOM APE1808 devices
SSA-770890: Path Traversal Vulnerability in the Web Server of CPCI85 Firmware of SICAM A8000 Devices
SSA-784849: Direct Memory Access Vulnerabilities in SIMATIC CP Devices
SSA-829656: Stack Overflow Vulnerability in Xpedition Layout Browser
SSA-843070: Multiple Vulnerabilities in SCALANCE W1750D

参考情報

  1. ICS Advisory | ICSA-23-285-01
    Siemens SIMATIC CP products
  2. ICS Advisory | ICSA-23-285-02
    Siemens SCALANCE W1750D
  3. ICS Advisory | ICSA-23-285-03
    Siemens SICAM A8000 Devices
  4. ICS Advisory | ICSA-23-285-04
    Siemens Xpedition Layout Browser
  5. ICS Advisory | ICSA-23-285-05
    Siemens Simcenter Amesim
  6. ICS Advisory | ICSA-23-285-06
    Siemens SICAM PAS/PQS
  7. ICS Advisory | ICSA-23-285-07
    Siemens RUGGEDCOM APE1808
  8. ICS Advisory | ICSA-23-285-08
    Siemens SINEC NMS
  9. ICS Advisory | ICSA-23-285-09
    Siemens CPCI85 Firmware of SICAM A8000 Devices
  10. ICS Advisory | ICSA-23-285-10
    Siemens Tecnomatix Plant Simulation
  11. ICS Advisory | ICSA-23-285-11
    Siemens Mendix Forgot Password Module

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2023/10/13
[参考情報]にICS Advisoryのリンクを追加しました