English
情報セキュリティ
CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
最終更新日:2024年7月22日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
-
(脚注1)本ページに掲載しているのは、CISAが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。
2024年7月18日公開
| 三菱電機 の MELSOFT MaiLab にデジタル署名の検証に関する脆弱性 | |
| 深刻度 | 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.2(AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2023-4807 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-200-01 |
|
Subnet Solutions 社の Subnet PowerSYSTEM Center にオブジェクトプロトタイプ属性の不適切に制御された変更 (プロトタイプの汚染)に関する脆弱性
|
|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N)(CVSSv3) 基本値 6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2023-26136 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-200-02 |
| Philips 社の Vue PACS に複数の脆弱性 | |
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、ワークアラウンド(回避策)及びリスク緩和策) |
| 脆弱性番号 |
CVE-2020-36518(境界外書き込み)
CVE-2020-11113(信頼性のないデータのデシリアライゼーション)
CVE-2020-35728(信頼性のないデータのデシリアライゼーション)
CVE-2021-20190(信頼性のないデータのデシリアライゼーション)
CVE-2020-14061(信頼性のないデータのデシリアライゼーション)
CVE-2020-10673(信頼性のないデータのデシリアライゼーション)
CVE-2019-12814(信頼性のないデータのデシリアライゼーション)
CVE-2017-17485(信頼性のないデータのデシリアライゼーション)
CVE-2021-28165(リソースの枯渇)
CVE-2023-40223(不適切な権限管理)
CVE-2023-40704(デフォルトの認証情報の使用)
CVE-2023-40539(脆弱なパスワードポリシー)
CVE-2023-40159(情報漏えい)
|
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-200-01 |
2024年7月16日公開
|
Rockwell Automation 社の Pavilion 8 に重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
|
|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-6435 |
| 参照 | |
2024年7月11日公開
| Siemens 社の Remote Connect Server に複数の脆弱性 | |
| 深刻度 | 基本値 9.6(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2022-32260(不適切なユーザ管理)
CVE-2024-39865(危険なタイプのファイルの無制限アップロード)
CVE-2024-39866(危険なアクションで定義された権限)
CVE-2024-39867(リクエストの直接送信)
CVE-2024-39868(リクエストの直接送信)
CVE-2024-39869(例外的な状態における不適切なチェック)
CVE-2024-39870(サーバ側のセキュリティのクライアント側での実施)
CVE-2024-39871(不正な認証)
CVE-2024-39872(不適切なアクセスパーミションでの一時ファイル作成)
CVE-2024-39873(認証試行回数の不適切な制限)
CVE-2024-39874(認証試行回数の不適切な制限)
CVE-2024-39875(重要なリソースに対する不適切なアクセス権の付与)
CVE-2024-39876(制限やスロットリングのないリソースの割り当て)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-01 |
| Siemens 社の RUGGEDCOM APE 1808 に複数の脆弱性 | |
| 深刻度 | 基本値 7.5(AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策) |
| 脆弱性番号 | CVE-2023-46720(スタックベースのバッファオーバーフロー)
CVE-2024-21754(強度が不十分なパスワードハッシュの使用)
CVE-2024-23111(クロスサイトスクリプティング)
CVE-2024-26010(スタックベースのバッファオーバーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-02 |
| Siemens 社の Teamcenter Visualization および JT2Go に境界外読み取りに関する脆弱性 | |
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2023-7066 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-03 |
| Siemens 社の Simcenter Femap に複数の脆弱性 | |
| 深刻度 | 基本値 8.2(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H)(CVSSv3) 基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-32055(境界外読み取り)
CVE-2024-32056(境界外書き込み)
CVE-2024-32057(型の取り違え)
CVE-2024-32058(バッファエラー)
CVE-2024-32059(境界外読み取り)
CVE-2024-32060(境界外読み取り)
CVE-2024-32061(境界外読み取り)
CVE-2024-32062(型の取り違え)
CVE-2024-32063(型の取り違え)
CVE-2024-32064(境界外読み取り)
CVE-2024-32065(境界外読み取り)
CVE-2024-32066(境界外読み取り)
CVE-2024-33577(スタックベースのバッファオーバーフロー)
CVE-2024-33653(境界外読み取り)
CVE-2024-33654(境界外読み取り)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-04 |
|
Siemens 社の SCALANCE、RUGGEDCOM、SIPLUS、および SINEC に通信チャネルで送信中のメッセージの整合性への不適切な強制に関する脆弱性
|
|
| 深刻度 | 基本値 9.0(AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L)(CVSSv3) 基本値 9.1(AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:H/VA:N/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-3596 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-05 |
| Siemens 社の RUGGEDCOM に複数の脆弱性 | |
| 深刻度 | 基本値 8.8(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2023-52237(情報漏えい)
CVE-2023-52238(情報漏えい)
CVE-2024-38278(不適切な権限設定)
CVE-2024-39675(認可されていない制御領域への重要情報の漏えい)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-06 |
|
Siemens 社の SIMATIC および SIMIT に不適切に制御された順次メモリ割り当て に関する脆弱性
|
|
| 深刻度 | 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2023-52891 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-07 |
|
Siemens 社の Mendix Encryption Module にセキュリティ関連のハードコードされた定数の使用に関する脆弱性
|
|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 |
CVE-2024-39888
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-08 |
| Siemens 社の SINEMA Remote Connect Server にコマンドインジェクションの脆弱性 | |
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2024-39570、CVE-2024-39571 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-09 |
| Siemens 社の JT Open および PLM XML SDK に複数の脆弱性 | |
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-37996(NULLポインタデリファレンス)
CVE-2024-37997(スタックベースのバッファオーバーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-10 |
| Siemens 社の RUGGEDCOM APE 1808 にセキュリティ関連情報の切り捨てに関する脆弱性 | |
| 深刻度 | 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N)(CVSSv3) 基本値 8.2(AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 |
CVE-2023-48795
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-11 |
|
Siemens 社の TIA Portal および SIMATIC STEP 7 に信頼性のないデータのデシリアライゼーションに関する脆弱性
|
|
| 深刻度 | 基本値 6.3(AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.0(AV:L/AC:L/AT:N/PR:H/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 |
CVE-2023-32737
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-12 |
|
Siemens 社の TIA Portal、SIMATIC、および SIRIUS に信頼性のないデータのデシリアライゼーションに関する脆弱性
|
|
| 深刻度 | 基本値 6.5(AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.0(AV:L/AC:L/AT:N/PR:H/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 |
CVE-2023-32735
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-13 |
| 富士電機 の遠隔監視ソフトウェア Tellus Lite V-Simulator に複数の脆弱性 | |
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 |
CVE-2024-38867
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-14 |
| Siemens 社の SINEMA Remote Connect Server にコマンドインジェクションの脆弱性 | |
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2024-39567、CVE-2024-39568、CVE-2024-39569 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-15 |
| Siemens 社の SIMATIC WinCC に認可されていない行為者への個人情報の漏えいの脆弱性 | |
| 深刻度 | 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 8.2(AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-30321 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-16 |
|
Siemens 社の SIMATIC STEP 7 (TIA Portal) に信頼性のないデータのデシリアライゼーションに関する脆弱性
|
|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2022-45147 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-17 |
| Rockwell Automation 社の hinManager ThinServer に入力確認に関する脆弱性 | |
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 |
CVE-2024-5988、CVE-2024-5989、CVE-2024-5990
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-18 |
|
Rockwell Automation 社の FactoryTalk System Services および Policy Manager に権限管理に関する脆弱性
|
|
| 深刻度 | 基本値 6.5(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N)(CVSSv3) 基本値 6.0(AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 |
CVE-2024-6325、CVE-2024-6236
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-19 |
|
HMS Industrial Networks 社の Anybus-CompactCom 30 にクロスサイトスクリプティングの脆弱性
|
|
| 深刻度 | 基本値 6.3(AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L)(CVSSv3) 基本値 6.3(AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:L/SC:H/SI:H/SA:L)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-6558 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-20 |
|
三菱電機 の MELSEC iQ-R、iQ-L シリーズ および MELIPC シリーズ にリソースの不適切なシャットダウンおよびリリースに関する脆弱性
|
|
| 2022年12月22日 ICS-CERT 公開分の更新(Update D)
<更新内容>
・対策:情報更新
|
|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2022-33324 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-22-356-03 |
2024年7月9日公開
| Delta Electronics 社の CNCSoft-G2 に複数の脆弱性 | |
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2024-39880(スタックベースのバッファオーバーフロー)
CVE-2024-39881(境界外書き込み)
CVE-2024-39882(境界外読み取り)
CVE-2024-39883(ヒープベースのバッファオーバーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-191-01 |
| 三菱電機 の MELIPC シリーズ MI5122-VW に不適切なデフォルトパーミッションに関する脆弱性 | |
| 深刻度 | 基本値 8.8(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-3904 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-191-02 |
|
Johnson Controls 社の Illustra Pro Gen 4 に脆弱なサードパーティ製コンポーネントへの依存に関する脆弱性
|
|
| 深刻度 | 基本値 6.9(AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N)(CVSSv3) 基本値 7.0(AV:N/AC:L/AT:P/PR:N/UI:A/VC:H/VI:L/VA:N/SC:H/SI:L/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 |
CVE-2024-32753
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-191-03 |
|
Johnson Controls 社の Software House C・CURE 9000 に弱い認証情報の使用に関する脆弱性
|
|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.7(AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2024-32759 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-191-04 |
|
Johnson Controls 社の Software House C・CURE 9000 に不適切なデフォルトパーミッションに関する脆弱性
|
|
| 深刻度 | 基本値 8.8(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 7.7(AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-32861 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-191-05 |
| PTC 社の Creo Elements/Direct License Server に認証の欠如に関する脆弱性 | |
| 2024年6月25日 ICS-CERT 公開分の更新(Update A)
<更新内容>
・影響を受ける製品:情報更新
|
|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N)(CVSSv3) 基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2024-6071 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-177-02 |
|
三菱電機 の シーケンサエンジニアリングソフトウェア GX Works3 に不適切なデフォルトパーミッションに関する脆弱性
|
|
| 2023年9月26日 ICS-CERT 公開分の更新(Update A)
<更新内容>
・影響を受ける製品/対策:情報更新
|
|
| 深刻度 | 基本値 9.3(AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2023-4088 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-03 |
2024年7月2日公開
| Johnson Controls 社の ドアコントローラー Kantech に情報漏えいに関する脆弱性 | |
| 深刻度 | 基本値 3.1(AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 |
CVE-2024-32754
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-01 |
| mySCADA 社の myPRO にハードコードされたパスワードの使用に関する脆弱性 | |
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2024-4708 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-02 |
| ICONICS 社(三菱電機)の ICONICS Product Suite に複数の脆弱性 | |
| 深刻度 | 基本値 7.0(AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 |
CVE-2022-2650(制限やスロットリングのないリソースの割り当て)
CVE-2023-4807(不適切な無害化)
CVE-2024-1182(制御されていない検索パスの要素)
CVE-2024-1573(不適切な認証)
CVE-2024-1574(クラスまたはコードを選択する外部から制御された入力の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-03 |
| Johnson Controls 社の IP カメラ Illustra Essentials Gen 4 に入力確認に関する脆弱性 | |
| 2024年6月27日 ICS-CERT 公開分の更新(Update A)
<更新内容>
・対策:情報更新
|
|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2024-32755 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-04 |
| Johnson Controls 社の IP カメラ Illustra Essentials Gen 4 に復元可能な形式でのパスワード保存に関する脆弱性 | |
| 2024年6月27日 ICS-CERT 公開分の更新(Update A)
<更新内容>
・対策:情報更新
|
|
| 深刻度 | 基本値 6.8(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2024-32756 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-05 |
| Johnson Controls 社の IP カメラ Illustra Essentials Gen 4 にログファイルからの情報漏えいに関する脆弱性 | |
| 2024年6月27日 ICS-CERT 公開分の更新(Update A)
<更新内容>
・対策:情報更新
|
|
| 深刻度 | 基本値 6.8(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2024-32757 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-06 |
| Johnson Controls 社の IP カメラ Illustra Essentials Gen 4 に復元可能な形式でのパスワード保存に関する脆弱性 | |
| 2024年6月27日 ICS-CERT 公開分の更新(Update A)
<更新内容>
・対策:情報更新
|
|
| 深刻度 | 基本値 6.8(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2024-32932 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-07 |
2024年6月27日公開
| TELSAT 社の marKoni FM Transmitter に複数の脆弱性 | |
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 |
CVE-2024-39373(コマンドインジェクション)
CVE-2024-39374(ハードコードされた認証情報の使用)
CVE-2024-39375(クライアント側認証の使用)
CVE-2024-39376(不適切なアクセス制御)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-01 |
|
SDG Technologies 社の PnPSCADA に認証の欠如に関する脆弱性 |
|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2024-2882 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-02 |
| 横河電機 の FAST/TOOLS および CI Server に複数の脆弱性 | |
| 深刻度 | 基本値 5.8(AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N)(CVSSv3) 基本値 6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-4105(クロスサイトスクリプティング)
CVE-2024-4106(設定ファイル内の空のパスワード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-03 |
| Johnson Controls 社の IP カメラ Illustra Essentials Gen 4 に入力確認に関する脆弱性 | |
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2024-32755 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-04 |
|
Johnson Controls 社の IP カメラ Illustra Essentials Gen 4 に復元可能な形式でのパスワード保存に関する脆弱性
|
|
| 深刻度 | 基本値 6.8(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2024-32756 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-05 |
|
Johnson Controls 社の IP カメラ Illustra Essentials Gen 4 にログファイルからの情報漏えいに関する脆弱性
|
|
| 深刻度 | 基本値 6.8(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2024-32757 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-06 |
|
Johnson Controls 社の IP カメラ Illustra Essentials Gen 4 に復元可能な形式でのパスワード保存に関する脆弱性
|
|
| 深刻度 | 基本値 6.8(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2024-32932 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-07 |
2024年6月25日公開
| ABB 社の Ability System 800xA に入力確認に関する脆弱性 | |
| 深刻度 | 基本値 5.7(AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 6.9(AV:A/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2024-3036 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-177-01 |
| PTC 社の Creo Elements/Direct License Server に認証の欠如に関する脆弱性 | |
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2024-6071 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-177-02 |
CISA公開脆弱性情報のJVN iPediaでの検索
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
■特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
■CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
■キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組み
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
お問い合わせ先
IPA セキュリティ センター(IPA/ISEC)
-
E-mail
CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。