---------------------------------------------------------------------------------------------
[アドバイザリ]
Digi International 社の PortServer TS 16 に認証に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
9.6(AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】販売・サポート終了のため無し。新製品へのアップグレード推奨。
【脆弱性番号】CVE-2021-38412
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-01
---------------------------------------------------------------------------------------------
[アドバイザリ]
Sensormatic Electronics 社の ドアコントローラKT-1
に Capture-replay による認証回避に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップグレード)
【脆弱性番号】CVE-2021-27662
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-02-0---------------------------------------------------------------------------------------------
[アドバイザリ]
Schneider Electric 社の Struxureware Data Center Expert に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
9.1(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(ベンダ対応予定。それまではリスク緩和策)
【脆弱性番号】CVE-2021-22795(OSコマンドインジェクション)
CVE-2021-22794(パス・トラバーサル)
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-03---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の エンジニアリングシミュレーションアプリケーション Simcenter Femap
に 境界外読み取りに関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
3.3(AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2021-37176
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-04---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の マルチフィジックスソリューション の シミュレーションアプリケーション
Simcenter STAR-CCM+ Viewer に 境界外書き込みに関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2021-25665
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-05---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SIMATIC CP に 重要な情報の平文保存に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策)
【脆弱性番号】CVE-2021-33716
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-06---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の APOGEE および TALON に 古典的バッファオーバーフローの脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策)
【脆弱性番号】CVE-2021-27391
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-07---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の Teamcenter に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策)
【脆弱性番号】CVE-2021-40354(危険な操作の実行で定義された権限)
CVE-2021-40355(ユーザ制御の鍵による認証回避)
CVE-2021-40356(XML外部エンティティ参照の不適切な制限)
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-08---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の デジタルエンジニアリングソフトウェア NX 1980 シリーズに複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策)
【脆弱性番号】CVE-2021-37202(解放済みメモリの使用)
CVE-2021-37203(境界外読み取り)
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-09---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SIPROTEC 5 リレー に古典的バッファオーバーフローの脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策)
【脆弱性番号】CVE-2021-33719
CVE-2021-33720
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-10---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の モバイルハンドヘルドターミナル SIMATIC RF350M および
SIMATIC RF650M に境界外書き込みに関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(ワークアラウンド(回避策)及びリスク緩和策)
【脆弱性番号】CVE-2020-7461
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-11---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SINEMA サーバ に 重要な機能に対する認証の欠如に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
4.7(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策)
【脆弱性番号】CVE-2019-10941
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-12---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の 通信モジュール LOGO! CMR2020/CMR2040 および リモートターミナル
ユニット SIMATIC RTU 3000 ファミリ に 不十分なランダム値の使用に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
5.4(AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策)
【脆弱性番号】CVE-2021-37186
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-13---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SINEC NMS に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策)
【脆弱性番号】CVE-2021-37200(パス・トラバーサル)
CVE-2021-37201(クロスサイトリクエストフォージェリ)
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-14---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SIMATIC NET CP モジュール にバッファエラーの脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(TCPポート番号102へのアクセス制限)
【脆弱性番号】CVE-2021-33737
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-15---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の 保護継電器 SIPROTEC 5 に入力確認に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2021-37206
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-16---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の ビル管理プラットフォーム Desigo CC ファミリ
に信頼性のないデータのデシリアライゼーションに関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、パッチ適用、ワークアラウンド(回避策)
及びリスク緩和策)
【脆弱性番号】CVE-2021-37181
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-17---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の Siveillance OIS に OS コマンドインジェクションの脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、パッチ適用、ワークアラウンド(回避策)
及びリスク緩和策)
【脆弱性番号】CVE-2021-31891
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-18---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SINEMA Remote Connect Server に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.4(AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2021-37177(不変と仮定されるデータの変更)
CVE-2021-37183(不適切なアクセス制御)
CVE-2021-37190(情報漏えい)
CVE-2021-37191(相互作用頻度の不適切な制御)
CVE-2021-37192(情報漏えい)
CVE-2021-37193(不変と仮定されるデータの変更)
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-19---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の 通信モジュール LOGO! CMR2020/CMR2040 および リモートターミナル
ユニット SIMATIC RTU 3000 ファミリ に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2020-36475(バッファサイズの計算の誤り)
CVE-2020-36478(不正な証明書検証)
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-20---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の Industrial Edge Management
にユーザ制御の鍵による認証回避に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2021-37184
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-21---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の Teamcenter Active Workspace に パストラバーサルの脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
4.5(AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策)
【脆弱性番号】CVE-2021-40357
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-22---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SIMATIC および TIM に 不正な認証に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策)
【脆弱性番号】CVE-2020-28397
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-257-23---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 3Dビジュアライゼーションツール JT2Go および
Teamcenter Visualization に複数の脆弱性
---------------------------------------------------------------------------------------------
※2021/8/10 ICS-CERT 公開分の更新(Update A)
<更新内容>
・対策:情報更新
【深 刻 度】基本値
7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-32946(例外的な状態における不適切なチェック)
CVE-2021-32952(境界外書き込み)
CVE-2021-33738(境界外読み取り)
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-222-03---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SIMATIC S7-1200 に認証に関する脆弱性
---------------------------------------------------------------------------------------------
※2021/8/10 ICS-CERT 公開分の更新(Update A)
<更新内容>
・脆弱性番号:情報更新
【深 刻 度】基本値
8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-37172
【参 照】
https://us-cert.cisa.gov/ics/advisories/isca-21-222-09---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
HCC Embedded 社の InterNiche stack (NicheStack) および NicheLite に複数の脆弱性
---------------------------------------------------------------------------------------------
※2021/8/5 ICS-CERT 公開分の更新(Update A)
<更新内容>
・対策:情報更新
【深 刻 度】基本値
9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2020-25767(期待された範囲外のポインタ値の返却)
CVE-2020-25928(長さのパラメータの不適切な処理)
CVE-2020-25927(長さのパラメータの不適切な処理)
CVE-2020-25926(不十分なランダム値の使用)
CVE-2020-35683(不適切な入力確認)
CVE-2020-35684(不適切な入力確認)
CVE-2020-35685(不十分なランダム値の使用)
CVE-2021-31400(例外がキャッチされない問題)
CVE-2021-31401(不適切な入力確認)
CVE-2021-31226(不適切な入力確認)
CVE-2021-31227(最小値チェックのない数値範囲比較)
CVE-2021-31228(予測可能な数字や識別子の生成)
CVE-2021-27565(例外条件の不適切なチェックまたは処理)
CVE-2021-36762(不適切なNULLによる終了)
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-217-01---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 産業用イーサネット規格 PROFINET 対応製品
に制限またはスロットリング無しのリソースの割り当てに関する脆弱性
---------------------------------------------------------------------------------------------
※2021/7/13 ICS-CERT 公開分の更新(Update A)
<更新内容>
・影響を受ける製品/対策:情報更新
【深 刻 度】基本値
7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-28400
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-194-03---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SIMATIC ソフトウェア製品
に重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
---------------------------------------------------------------------------------------------
※2021/7/13 ICS-CERT 公開分の更新(Update A)
<更新内容>
・影響を受ける製品/対策:情報更新(SINAMICS STARTER)
【深 刻 度】基本値
7.3(AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-31894
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-194-06---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SINAMICS PERFECT HARMONY GH180
にバッファエラーの脆弱性
---------------------------------------------------------------------------------------------
※2021/7/13 ICS-CERT 公開分の更新(Update A)
<更新内容>
・影響を受ける製品:情報更新(SINAMICS PERFECT HARMONY GH180)
【深 刻 度】基本値
8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-15782
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-194-13---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SINUMERIK ONE および SINUMERIK MC にバッファエラーの脆弱性
---------------------------------------------------------------------------------------------
※2021/7/13 ICS-CERT 公開分の更新(Update A)
<更新内容>
・影響を受ける製品/対策:情報更新(SINUMERIK MC、SINUMERIK ONE)
【深 刻 度】基本値
8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、TCPポート番号102へのアクセス制限)
【脆弱性番号】CVE-2020-15782
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-194-17---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SIMATIC S7-1200 および S7-1500 CPU ファミリ
にバッファエラーの脆弱性
---------------------------------------------------------------------------------------------
※2021/6/1 ICS-CERT 公開分の更新(Update A)
<更新内容>
・影響を受ける製品/対策:情報更新
【深 刻 度】基本値
8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-15782
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-152-01---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の Linux ベースの製品 に不十分なランダム値の使用に関する脆弱性
---------------------------------------------------------------------------------------------
※2021/5/11 ICS-CERT 公開分の更新(Update D)
<更新内容>
・影響を受ける製品/対策:情報更新(TIM 1531 IRC)
【深 刻 度】基本値
7.4(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-25705
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-131-03---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SIMATIC HMI パネルおよび SIMATIC WinCC の SmartVNC
に複数の脆弱性
---------------------------------------------------------------------------------------------
※2021/5/11 ICS-CERT 公開分の更新(Update A)
<更新内容>
・影響を受ける製品/対策:情報更新
【深 刻 度】基本値
9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-25660(バッファの終端後のメモリ領域に対するアクセス)
CVE-2021-25661(バッファの終端後のメモリ領域に対するアクセス)
CVE-2021-25662(例外条件の不適切な処理)
CVE-2021-27383(バッファエラー)
CVE-2021-27384(バッファの終端後のメモリ領域に対するアクセス)
CVE-2021-27385(リソースの枯渇)
CVE-2021-27386(バッファエラー)
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-131-12---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 産業用イーサネットスイッチ SCALANCE X200 の Webサーバ
に複数の脆弱性
---------------------------------------------------------------------------------------------
※2021/4/13 ICS-CERT 公開分の更新(Update A)
<更新内容>
・影響を受ける製品/対策:情報更新
【深 刻 度】基本値
9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップグレード、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-25668(ヒープベースのバッファオーバーフロー)
CVE-2021-25669(スタックベースのバッファオーバーフロー)
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-103-07---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 産業用イーサネットスイッチ SCALANCE および SIMATIC の
HTTP クライアントライブラリ libcurl に境界外読み取りに関する脆弱性
---------------------------------------------------------------------------------------------
※2021/3/9 ICS-CERT 公開分の更新(Update B)
<更新内容>
・影響を受ける製品:情報更新(SIMATIC NET CM 1542-1)
【深 刻 度】基本値
7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策)
【脆弱性番号】CVE-2019-3823
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-068-10---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の TIA Portal および PCS neo にアクセス制御に関する脆弱性
---------------------------------------------------------------------------------------------
※2021/2/9 ICS-CERT 公開分の更新(Update A)
<更新内容>
・影響を受ける製品/対策:情報更新
【深 刻 度】基本値
7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-25238
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-040-05---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 産業用イーサネットスイッチ SCALANCE X
にハードコードされた暗号鍵の使用に関する脆弱性
---------------------------------------------------------------------------------------------
※2021/1/12 ICS-CERT 公開分の更新(Update B)
<更新内容>
・影響を受ける製品/対策:情報更新
【深 刻 度】基本値
9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-28391
CVE-2020-28395
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-012-02---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 産業用イーサネットスイッチ SCALANCE X に複数の脆弱性
---------------------------------------------------------------------------------------------
※2021/1/12 ICS-CERT 公開分の更新(Update B)
<更新内容>
・影響を受ける製品/対策:情報更新
【深 刻 度】基本値
9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-15799(重要な機能に対する認証の欠如)
CVE-2020-15800(ヒープベースのバッファオーバーフロー)
CVE-2020-25226(ヒープベースのバッファオーバーフロー)
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-012-05---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
三菱電機 の MELSEC iQ-R シリーズ にリソースの枯渇に関する脆弱性
---------------------------------------------------------------------------------------------
※2020/11/19 ICS-CERT 公開分の更新(Update B)
<更新内容>
・影響を受ける製品/対策:情報更新(RJ71GN11-T2)
【深 刻 度】基本値
7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(ファームウェア・アップデートおよびリスク緩和策)
【脆弱性番号】CVE-2020-5668
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-20-324-05---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SIMATIC, SINAMICS, SINEC, SINEMA, SINUMERIK
に引用されない検索パスまたは要素に関する脆弱性
---------------------------------------------------------------------------------------------
※2020/6/9 ICS-CERT 公開分の更新(Update H)
<更新内容>
・影響を受ける製品/対策:情報更新(SINEMA Server)
【深 刻 度】基本値
6.7(AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-7580
【参 照】
hhttps://us-cert.cisa.gov/ics/advisories/icsa-20-161-04---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SCALANCE および SIMATIC にリソースの枯渇に関する脆弱性
---------------------------------------------------------------------------------------------
※2020/4/14 ICS-CERT 公開分の更新(Update E)
<更新内容>
・影響を受ける製品/対策:情報更新(SCALANCE X-200IRT)
【深 刻 度】基本値
7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2019-19301
【参 照】
https://www.us-cert.gov/ics/advisories/icsa-20-105-07---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の PROFINET-IO スタック を含む複数製品に
リソースの枯渇に関する脆弱性
---------------------------------------------------------------------------------------------
※2019/2/11 ICS-CERT 公開分の更新(Update E)
<更新内容>
・影響を受ける製品/対策:情報更新
【深 刻 度】基本値
7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】一部製品には有り(アップデート)
その他製品はパッチ提供までワークアラウンド(回避策)・リスク緩和策
【脆弱性番号】CVE-2019-13946
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-20-042-04---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の産業用製品に複数の脆弱性
---------------------------------------------------------------------------------------------
※2019/9/10 ICS-CERT 公開分の更新(Update O)
<更新内容>
・影響を受ける製品:情報更新(SIMATIC CM 1542-1)
【深 刻 度】基本値
7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2019-8460(大規模データテーブルでの過剰なデータクエリ操作)
CVE-2019-11477(整数オーバーフローまたはラップアラウンド)
CVE-2019-11478(リソースの枯渇)
CVE-2019-11479(リソースの枯渇)
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-19-253-03---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SCALANCE X Switches に不十分なリソースプールに関する脆弱性
---------------------------------------------------------------------------------------------
※2019/8/13 ICS-CERT 公開分の更新(Update C)
<更新内容>
・影響を受ける製品/対策:情報更新
【深 刻 度】基本値
8.6(AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2019-10942
【参 照】
https://www.us-cert.gov/ics/advisories/icsa-19-225-03
