情報セキュリティ

CISAが公開した制御システムの脆弱性情報(直近1ヶ月)

最終更新日:2024年5月27日

米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。

[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]

CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。

  • CISAが公開した脆弱性のIPAでの公開

なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。

  1. (脚注1)
    本ページに掲載しているのは、CISAが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。

2024年5月23日公開

アドバイザリ
AutomationDirect 社の PLC 製品 Productivity に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号
CVE-2024-24851(不適切な長さの値によるバッファへのアクセス)
CVE-2024-24946(境界外書き込み)
CVE-2024-24947(境界外書き込み)
CVE-2024-24954(境界外書き込み)
CVE-2024-24955(境界外書き込み)
CVE-2024-24956(境界外書き込み)
CVE-2024-24957(境界外書き込み)
CVE-2024-24958(境界外書き込み)
CVE-2024-24959(境界外書き込み)
CVE-2024-24962(スタックベースのバッファオーバーフロー)
CVE-2024-24963(スタックベースのバッファオーバーフロー)
CVE-2024-22187(不適切なアクセス制御)
CVE-2024-23315(不適切なアクセス制御)
CVE-2024-21785(デバッグコードの残存)
CVE-2024-23601(データの信頼性についての不十分な検証)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-144-01

2024年5月21日公開

アドバイザリ
LCDS 社の LAquis SCADA にパストラバーサルの脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.5(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号
CVE-2024-5040
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-142-01

2024年5月16日公開

アドバイザリ
Siemens 社の Parasolid に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号
CVE-2024-32635(境界外読み取り)
CVE-2024-32636(境界外読み取り)
CVE-2024-32637(NULLポインタデリファレンス)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-01
アドバイザリ
Siemens 社の SICAM 製品 に複数の脆弱性
深刻度 基本値 7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.6(AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-31484(不適切なNULLによる終了)
CVE-2024-31485(コマンドインジェクション)
CVE-2024-31486(平文での重要情報の保存)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-02
アドバイザリ
​Siemens 社の Teamcenter Visualization および JT2Go に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号
CVE-2024-34085(スタックベースのバッファオーバーフロー)
​​​CVE-2024-34086(境界外書き込み)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-03
アドバイザリ
Siemens 社の Polarion ALM にアクセス制御に関する脆弱性
深刻度 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
基本値 7.1(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-33647
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-04
アドバイザリ
Siemens 社の Simcenter Nastran にスタックベースのバッファオーバーフローの脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-33577
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-05
アドバイザリ
Siemens 社の SIMATIC CN 4100 に複数の脆弱性
深刻度 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号
CVE-2024-32740(ハードコードされた認証情報の使用)
CVE-2024-32741(ハードコードされたパスワードの使用)
CVE-2024-32742(ハードウェアの不変の信頼の基点(Root of Trust)の欠如)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-06
アドバイザリ
Siemens 社の SIMATIC RTLS Locating Manager に複数の脆弱性
深刻度 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号
CVE-2024-30207(ハードコードされた暗号鍵の使用)他、計21個
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-07
アドバイザリ
Siemens 社の PS/IGES Parasolid Translator Component に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号
CVE-2024-32055(境界外読み取り)
CVE-2024-32057(型の取り違え)
CVE-2024-32058(バッファエラー)
CVE-2024-32059(境界外読み取り)
CVE-2024-32060(境界外読み取り)
CVE-2024-32061(境界外読み取り)
CVE-2024-32062(型の取り違え)
CVE-2024-32063(型の取り違え)
CVE-2024-32064(境界外読み取り)
CVE-2024-32065(境界外読み取り)
CVE-2024-32066(境界外読み取り)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-08
アドバイザリ
Siemens 社の Solid Edge に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号
CVE-2024-33489(ヒープベースのバッファオーバーフロー)
CVE-2024-33490(境界外読み取り)
CVE-2024-33491(境界外読み取り)
CVE-2024-33492(境界外読み取り)
CVE-2024-33493(境界外読み取り)
CVE-2024-34771(ヒープベースのバッファオーバーフロー)
CVE-2024-34772(境界外読み取り)
CVE-2024-34773(スタックベースのバッファオーバーフロー)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-09
アドバイザリ
Siemens 社の RUGGEDCOM CROSSBOW に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-27939(認可の欠如)
CVE-2024-27940(SQLインジェクション)
CVE-2024-27941(SQLインジェクション)
CVE-2024-27942(重要な機能に対する認証の欠如)
CVE-2024-27943(ファイル名またはパスの外部からの制御)
CVE-2024-27944(ファイル名またはパスの外部からの制御)
CVE-2024-27945(ファイル名またはパスの外部からの制御)
CVE-2024-27946(パス・トラバーサル)
CVE-2024-27947(情報漏えい)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-10
アドバイザリ
Siemens 社の RUGGEDCOM APE1808 に複数の脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップグレード、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2023-6916(認証情報の不十分な保護)
CVE-2024-0218(不適切な入力確認)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-11
アドバイザリ
Siemens 社の 防火システム Desigo Fire Safety UL および Cerberus PRO UL に複数の脆弱性
深刻度 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-22039(古典的バッファオーバーフロー)
CVE-2024-22040(境界外読み取り)
CVE-2024-22041(バッファエラー)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-12
アドバイザリ
Siemens 社の 複数製品 に境界外読み取りに関する脆弱性
深刻度 基本値 6.5(AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H)(CVSSv3
基本値 8.2(AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2023-46280
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-13
アドバイザリ
Rockwell Automation 社の FactoryTalk View SE に入力確認に関する脆弱性
深刻度 基本値 7.6(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L)(CVSSv3
基本値 8.8(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップグレード)
脆弱性番号 CVE-2024-4609
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-14
アドバイザリ【更新】
三菱電機 の MELSEC iQ-R シリーズ 安全CPUユニット および SIL2プロセスCPUユニット に権限設定に関する脆弱性
2024年2月13日 公開分の更新(Update A)
 <更新内容>
  ・対策:情報更新
深刻度 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2023-6815
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-044-01
アドバイザリ【更新】
Delta Electronics 社の InfraSuite Device Master に信頼性のないデータのデシリアライゼーションに関する脆弱性
2024年3月14日 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品/対策:情報更新
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 CCVE-2024-0802(不適切なポインタのスケーリング)
CVE-2024-0803(整数オーバーフローまたはラップアラウンド)
CVE-2024-1915(不適切なポインタのスケーリング)
CVE-2024-1916(整数オーバーフローまたはラップアラウンド)
CVE-2024-1917(整数オーバーフローまたはラップアラウンド)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-14
メディカルアドバイザリ【更新】
GE 社の 超音波診断装置 Ultrasound 製品に複数の脆弱性
 2024年2月18日 公開分の更新(Update A)
 <更新内容>
  ・脆弱性番号/深刻度:情報更新
深刻度 基本値 8.4(AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策))
脆弱性番号 CVE-2020-6977(保護メカニズムの不具合)
CVE-2024-1486(不適切なユーザ管理)
参照

2024年5月14日公開

アドバイザリ
​Rockwell Automation 社の Factory Talk Remote Access に引用されない検索パスまたは要素に関する脆弱性
深刻度 基本値 6.5(AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 7.0(AV:L/AC:L/AT:N/PR:H/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップグレード)
脆弱性番号
CVE-2024-3640
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-01
アドバイザリ
Subnet Solutions 社の PowerSYSTEM Center に信頼性が不十分なコンポーネントへの依存に関する脆弱性
深刻度 基本値 8.4(AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.6(AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2024-28042
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-02
アドバイザリ
Johnson Controls 社の Software House C・CURE 9000 にログファイルからの情報漏えいに関する脆弱性
深刻度 基本値 7.7(AV:L/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:L)(CVSSv3
基本値 8.5(AV:L/AC:L/AT:N/PR:H/UI:A/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2024-0912
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-03
アドバイザリ
三菱電機 の 複数のファクトリオートメーションエンジニアリングソフトウェア製品 に複数の脆弱性
深刻度 基本値 6.0(AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:H)(CVSSv3
基本値 4.4(AV:L/AC:L/AT:P/PR:L/UI:A/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号
CVE-2023-51776(不適切な権限管理)
CVE-2023-51777(リソースの枯渇)
CVE-2023-51778(境界外書き込み)
CVE-2024-22102(リソースの枯渇)
CVE-2024-22103(境界外書き込み)
​​​​CVE-2024-22104(境界外書き込み)
CVE-2024-22105(リソースの枯渇)
CVE-2024-22106(不適切な権限管理)
CVE-2024-25086(不適切な権限管理)
CVE-2024-25087(リソースの枯渇)
CVE-2024-25088(不適切な権限管理)
CVE-2024-26314(不適切な権限管理)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-04

2024年5月9日公開

アドバイザリ
Rockwell Automation 社の FactoryTalk Historian SE に複数の脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
基本値 7.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:H)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号
CVE-2023-31274(有効なライフタイム後のリソースの解放の欠如)
CVE-2023-34348(例外条件の不適切なチェックまたは処理)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-130-01
アドバイザリ
alpitronic 社の Hypercharger EV charger にデフォルトの認証情報の使用に関する脆弱性
深刻度 基本値 8.2(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H)(CVSSv3
基本値 8.3(AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-4622
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-130-02
アドバイザリ
Delta Electronics 社の InfraSuite Device Master に信頼性のないデータのデシリアライゼーションに関する脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2023-46604
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-130-03
アドバイザリ【更新】
Rockwell Automation 社の ControlLogix および GuardLogix に入力確認に関する脆弱性
 2024年4月16日 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品/対策:情報更新
深刻度 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)(CVSSv3
基本値 9.2(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2024-3493
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-107-03

2024年5月7日公開

アドバイザリ
PTC 社の Codebeamer にクロスサイトスクリプティングの脆弱性
深刻度 基本値 7.1(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L)(CVSSv3
基本値 5.1(AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2024-3951
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-128-01
アドバイザリ
Subnet Solutions 社の Substation Server に信頼性が不十分なコンポーネントへの依存に関する脆弱性
深刻度 基本値 8.4(AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.6(AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2024-26024
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-128-02

2024年5月2日公開

アドバイザリ
CyberPower 社の ソフトウェア PowerPanel business に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2024-34025(ハードコードされたパスワードの使用)
CVE-2024-33615(相対パストラバーサル)
CVE-2024-32053(ハードコードされた認証情報の使用)
CVE-2024-32047(デバッグコードの残存)
CVE-2024-32042(復元可能な形式でのパスワード保存)
​​​​CVE-2024-31856(SQLインジェクション)
CVE-2024-31410(ハードコードされた暗号鍵の使用)
CVE-2024-31409(不適切な認可)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-01
アドバイザリ
Delta Electronics 社の DIAEnergie に複数の脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2024-34031(SQLインジェクション)
CVE-2024-34032(SQLインジェクション)
CVE-2024-34033(パス・トラバーサル) 
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-02
アドバイザリ【更新】
Chirp Systems 社の Chirp Access にハードコードされた認証情報の使用に関する脆弱性
 2024年3月7日 公開分の更新(Update C)
 <更新内容>
  ・リスク評価とCVEの説明:情報更新
深刻度 基本値 4.3(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)(CVSSv3
基本値 2.3(AV:A/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 ベンダに連絡
脆弱性番号 CVE-2024-2197
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-067-01 

2024年4月30日公開

アドバイザリ
Delta Electronics 社の HMI ソフトウェア CNCSoft-G2 にスタックベースのバッファオーバーフローの脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) 
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号
CVE-2024-4192
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-121-01
アドバイザリ【更新】
SEW-EURODRIVE 社の MOVITOOLS MotionStudio に XML 外部エンティティの脆弱性
 2024年1月16日 公開分の更新(Update A)
 <更新内容>
  ・対策:情報更新
深刻度 基本値 5.5(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2024-1167 
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-016-01
アドバイザリ【更新】
Unitronics 社の PLC製品 Vision シリーズ に復元可能な形式でのパスワード保存に関する脆弱性
 2024年4月18日 公開分の更新(Update A)
 <更新内容>
  ・対策:情報更新
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号
CVE-2024-1480
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-109-01

CISA公開脆弱性情報のJVN iPediaでの検索

CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。

■特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」

■CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
 (検索例:2017年のICSMAアドバイザリ
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
 (検索例:2017年のICSAアドバイザリ
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
 (検索例:過去のICS Alert

■キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」

必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。

IPAにおける制御システムのセキュリティへの取組み

 IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。

お問い合わせ先

IPA セキュリティ センター(IPA/ISEC)

  • E-mail

    isec-icsアットマークipa.go.jp

CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。