情報セキュリティ
最終更新日:2024年9月2日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
Rockwell Automation 社の ThinManager ThinServer に複数の脆弱性 | |
深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、リスク緩和策) |
脆弱性番号 | CVE-2024-7986(不適切な権限管理)
CVE-2024-7987(重要なリソースに対する不適切なアクセス権の付与)
CVE-2024-7988(不適切な入力確認)
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-242-01 |
Delta Electronics 社の DTN Soft に信頼性のないデータのデシリアライゼーションに関する脆弱性
|
|
深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート) |
脆弱性番号 | CVE-2024-8255 |
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-242-02 |
Rockwell Automation 社の FactoryTalk View Site Edition に重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
|
|
2024年8月13日 CISA 公開分の更新(Update A)
<更新内容>
・対策:情報更新
|
|
深刻度 | 基本値 8.8(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
脆弱性番号 | CVE-2024-7513 |
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-06 |
Rockwell Automation 社の Emulate3D に別領域リソースに対する外部からの制御可能な参照に関する脆弱性
|
|
深刻度 | 基本値 6.7(AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 5.4(AV:L/AC:H/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、リスク緩和策) |
脆弱性番号 | CVE-2024-6079 |
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-235-01 |
Rockwell Automation 社の 5015 - AENFTXT に入力確認に関する脆弱性 | |
深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
脆弱性番号 | CVE-2024-6089 |
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-235-02 |
MOBOTIX 社の カメラ製品 P3 及び Mx6 に式とコマンド区切り文字の不適切な無害化に関する脆弱性
|
|
深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(ファームウェア・アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
脆弱性番号 |
CVE-2023-34873
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-235-03 |
Avtec 社の Outpost 0810 に複数の脆弱性 | |
深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、リスク緩和策) |
脆弱性番号 | CVE-2024-39776(重要データを含むデータのWebルート下への保存)
CVE-2024-42418(ハードコードされた暗号鍵の使用)
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-235-04 |
三菱電機 の MELSEC iQ-R シリーズ にリソースの枯渇に関する脆弱性 | |
2020年10月8日 CISA 公開分の更新(Update D)
<更新内容>
・影響を受ける製品/対策:情報更新
|
|
深刻度 | 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)(CVSSv3) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、リスク緩和策) |
脆弱性番号 | CVE-2020-16850 |
参照 | https://us-cert.cisa.gov/ics/advisories/icsa-20-282-02 |
Siemens 社の RUGGEDCOM RM1224 および SCALANCE M-800 ファミリ に複数の脆弱性
|
|
深刻度 | 基本値 7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.6(AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策) |
脆弱性番号 | CVE-2023-44321(リソースの枯渇)
CVE-2024-41976(不適切な入力確認)
CVE-2024-41977(誤ったセッションへのデータ要素の漏えい)
CVE-2024-41978(ログファイルからの情報漏えい)
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-228-01 |
Siemens 社の INTRALOG WMS に複数の脆弱性 | |
深刻度 | 基本値 8.0(AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N)(CVSSv3) 基本値 8.8(AV:A/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策) |
脆弱性番号 | CVE-2024-0056 (平文での重要情報の通信)
CVE-2024-30045(ヒープベースのバッファオーバーフロー)
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-228-02 |
Siemens 社の Teamcenter Visualization および JT2Go に複数の脆弱性 | |
深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策) |
脆弱性番号 |
CVE-2024-32635(境界外読み取り)
CVE-2024-32636(境界外読み取り)
CVE-2024-32637(NULLポインタデリファレンス)
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-228-03 |
Siemens 社の SINEC Traffic Analyzer に複数の脆弱性 | |
深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート) |
脆弱性番号 | CVE-2024-41903(不適切な権限管理)
CVE-2024-41904(認証試行回数の不適切な制限)
CVE-2024-41905(不適切なアクセス制御)
CVE-2024-41906(重要情報を含むキャッシュの使用)
CVE-2024-41907(不適切に実装されたセキュリティチェック)
|
参照 |
Siemens 社の LOGO! V8.3 BM デバイス に認証情報の平文保存に関する脆弱性 | |
深刻度 | 基本値 4.6(AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 5.1(AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(ワークアラウンド(回避策)及びリスク緩和策) |
脆弱性番号 | CVE-2024-39922 |
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-228-05 |
Siemens 社の SINEC NMS に複数の脆弱性 | |
深刻度 | 基本値 9.1(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 9.4(AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策) |
脆弱性番号 | CVE-2023-4611(解放済みメモリの使用)他、計29個 |
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-228-06 |
Siemens 社の Location Intelligence に複数の脆弱性 | |
深刻度 | 基本値 6.7(AV:A/AC:H/PR:N/UI:R/S:U/C:L/I:H/A:H)(CVSSv3) 基本値 6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策) |
脆弱性番号 | CVE-2024-41681(不適切な暗号強度)
CVE-2024-41682(認証試行回数の不適切な制限)
CVE-2024-41683(脆弱なパスワードポリシー)
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-228-07 |
Siemens 社の COMOS に複数の脆弱性 | |
深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策) |
脆弱性番号 | CVE-2023-5180(境界外書き込み)
CVE-2023-26495(解放済みメモリの使用)
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-228-08 |
Siemens 社の NX に境界外読み取りに関する脆弱性 | |
深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策) |
脆弱性番号 |
CVE-2024-41908
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-228-09 |
AVEVA 社の Historian Server に SQL インジェクションの脆弱性 | |
深刻度 | 基本値 8.1(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N)(CVSSv3) 基本値 8.5(AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップグレード、ワークアラウンド(回避策)及びリスク緩和策) |
脆弱性番号 | CVE-2024-6456 |
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-228-10 |
PTC 社の Kepware ThingWorx Kepware Server に制限またはスロットリング無しのリソースの割り当てに関する脆弱性
|
|
深刻度 | 基本値 5.3(AV:A/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 5.9(AV:A/AC:H/AT:P/PR:N/UI:P/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(ワークアラウンド(回避策)及びリスク緩和策) |
脆弱性番号 | CVE-2024-6098 |
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-228-11 |
AVEVA 社の SuiteLink Server に制限またはスロットリング無しのリソースの割り当てに関する脆弱性
|
|
深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、リスク緩和策) |
脆弱性番号 |
CVE-2024-7113
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-01 |
Rockwell Automation 社の AADvance Standalone OPC-DA Server に複数の脆弱性
|
|
深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート) |
脆弱性番号 |
CVE-2018-1285(不適切な入力確認)
CVE-2006-0743(書式文字列の問題)
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-02 |
Rockwell Automation 社の GuardLogix/ControlLogix 5580 に例外的な状態のチェックに関する脆弱性
|
|
深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、リスク緩和策) |
脆弱性番号 |
CVE-2024-40619
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-03 |
Rockwell Automation 社の Pavilion8 に重要なデータの暗号化の欠如に関する脆弱性
|
|
深刻度 | 基本値 7.4(AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L)(CVSSv3) 基本値 5.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、リスク緩和策) |
脆弱性番号 |
CVE-2024-40620
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-04 |
Rockwell Automation 社の DataMosaix Private Cloud に認証に関する脆弱性
|
|
深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) 基本値 8.6(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップグレード) |
脆弱性番号 |
CVE-2024-6078
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-05 |
Rockwell Automation 社の FactoryTalk View Site Edition に重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性 | |
深刻度 | 基本値 8.8(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
脆弱性番号 |
CVE-2024-7513
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-06 |
Rockwell Automation 社のMicro850/870 にリソースの枯渇に関する脆弱性
|
|
深刻度 | 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3) 基本値 6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、リスク緩和策) |
脆弱性番号 |
CVE-2024-7567
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-07 |
Ocean Data Systems 社の Dream Report 2023 に複数の脆弱性 | |
深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート) |
脆弱性番号 |
CVE-2024-6618(パス・トラバーサル)
CVE-2024-6619(重要なリソースに対する不適切なアクセス権の付与)
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-08 |
Rockwell Automation 社の ControlLogix 5580、GuardLogix 5580、CompactLogix 5380/5480、Compact GuardLogix 5380 に入力確認に関する脆弱性 | |
深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、リスク緩和策) |
脆弱性番号 |
CVE-2024-7507
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-09 |
Rockwell Automation 社の CompactLogix 5380、ControlLogix 5580、GuardLogix 5580、Compact GuardLogix 5380、CompactLogix 5480 に入力確認に関する脆弱性 | |
深刻度 | 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、リスク緩和策) |
脆弱性番号 |
CVE-2024-7515
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-10 |
Dorsett Controls 社の InfoScan に複数の脆弱性 | |
深刻度 | 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)(CVSSv3) 基本値 6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート) |
脆弱性番号 |
CVE-2024-42493(情報漏えい)
CVE-2024-42408(パス・トラバーサル)
CVE-2024-39287(情報漏えい)
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-221-01 |
Delta Electronics 社の DIAScreen にスタックベースのバッファオーバーフローの脆弱性 | |
深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート) |
脆弱性番号 | CVE-2024-7502 |
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-219-01 |
Johnson Controls 社の exacqVision Client および exacqVision Server key に暗号強度に関する脆弱性
|
|
深刻度 | 基本値 8.3(AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 9.0(AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート) |
脆弱性番号 |
CVE-2024-32758
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-01 |
Johnson Controls 社の exacqVision Web Service に過度に許容されるクロスドメインホワイトリストに関する脆弱性
|
|
深刻度 | 基本値 6.8(AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N)(CVSSv3) 基本値 7.6(AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート) |
脆弱性番号 | CVE-2024-32862 |
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-02 |
Johnson Controls 社の exacqVision Web Service にクロスサイトリクエストフォージェリの脆弱性
|
|
深刻度 | 基本値 6.8(AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N)(CVSSv3) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート) |
脆弱性番号 |
CVE-2024-32863
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-03 |
Johnson Controls 社の exacqVision Web Service に重要な情報の平文での送信に関する脆弱性
|
|
深刻度 | 基本値 6.4(AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N)(CVSSv3) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート) |
脆弱性番号 | CVE-2024-32864 |
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-04 |
Johnson Controls 社の exacqVision Server に証明書検証に関する脆弱性 | |
深刻度 | 基本値 6.4(AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N)(CVSSv3) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート) |
脆弱性番号 |
CVE-2024-32865
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-05 |
Johnson Controls 社の exacqVision Web Service に GET リクエストにおけるクエリ文字列からの情報漏えいに関する脆弱性
|
|
深刻度 | 基本値 5.7(AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N)(CVSSv3) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート) |
脆弱性番号 | CVE-2024-32931 |
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-06 |
AVTECH SECURITY 社の IP カメラ および NVR (network video recorder) 製品 にコマンドインジェクションの脆弱性
|
|
深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
攻撃コード | 有り |
対策 | ベンダに連絡 |
脆弱性番号 |
CVE-2024-7029
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-07 |
Vonets 社の WiFi ブリッジ製品に複数の脆弱性 | |
深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | ベンダに連絡 |
脆弱性番号 | CVE-2024-41161(ハードコードされた認証情報の使用)
CVE-2024-29082(不適切なアクセス制御)
CVE-2024-41936(パス・トラバーサル)
CVE-2024-37023(コマンドインジェクション)
CVE-2024-39815(例外条件の不適切なチェックまたは処理)
CVE-2024-39791(スタックベースのバッファオーバーフロー)
CVE-2024-42001(リクエストの直接送信)
|
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-08 |
Rockwell Automation 社の Logix コントローラ製品 に保護されていない代替チャネルの脆弱性
|
|
深刻度 | 基本値 8.4(AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:H/A:H)(CVSSv3) 基本値 7.3(AV:N/AC:L/AT:P/PR:L/UI:N/VC:L/VI:H/VA:H/SC:L/SI:H/SA:H)(CVSSv4) |
攻撃コード | 現状確認されていない |
対策 | 有り(アップデート、リスク緩和策) |
脆弱性番号 | CVE-2024-6242 |
参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-09 |
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
■特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
■CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
■キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
IPA セキュリティ センター(IPA/ISEC)
CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。