---------------------------------------------------------------------------------------------
[アドバイザリ]
三菱電機 の マイクロシーケンサ MELSEC-F シリーズ
に管理者によるセキュリティ制御の欠如に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(ファームウェア・アップデート、リスク緩和策)
【脆弱性番号】CVE-2021-20612
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-22-013-01
---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の リモートターミナルユニット SICAM A8000 シリーズ に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
9.9(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2021-45033(ハードコードされた認証情報の使用)
CVE-2021-45034(不適切なアクセス制御)
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-22-013-02---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens Energy 社の PLUSCONTROL に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
8.2(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-31344(型の取り違え)
CVE-2021-31345(入力で指定された数量の不適切な検証)
CVE-2021-31346(入力で指定された数量の不適切な検証)
CVE-2021-31885(不適切な長さの値によるバッファへのアクセス)
CVE-2021-31889(整数アンダーフロー)
CVE-2021-31890(一貫性のない構造要素の不適切な処理)
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-22-013-03---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の 保護継電器 SIPROTEC 5 に入力確認に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2021-41769
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-22-013-04---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の 統合データプラットフォーム COMOS Web に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-37195(クロスサイトスクリプティング (Basic XSS))
CVE-2021-37196(相対パストラバーサル)
CVE-2021-37197(SQLインジェクション)
CVE-2021-37198(クロスサイトリクエストフォージェリ)
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-22-013-05---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SICAM PQ Analyzer に引用されない検索パスまたは要素に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
3.4(AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-45460
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-22-013-06---------------------------------------------------------------------------------------------
[アドバイザリ]
三菱電機 の マイクロシーケンサ MELSEC-F シリーズ に初期化に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(ファームウェア・アップデート、リスク緩和策)
【脆弱性番号】CVE-2021-20613
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-22-013-07---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Trane 社の ビルディングオートメーション製品 Symbio
にコード・インジェクションの脆弱性
---------------------------------------------------------------------------------------------
※2021/9/23 ICS-CERT 公開分の更新(Update B)
<更新内容>
・リスク評価:情報更新
【深 刻 度】基本値
7.5(AV:P/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(ファームウェア・アップデート)
【脆弱性番号】CVE-2021-38448
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-266-01---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 複数の Nucleus 製品 に不十分なランダム値の使用に関する脆弱性
---------------------------------------------------------------------------------------------
※2021/4/13 ICS-CERT 公開分の更新(Update A)
<更新内容>
・影響を受ける製品:情報更新
【深 刻 度】基本値
5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-27393
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-103-14---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
三菱電機 の MELSEC iQ-R、Q および L シリーズ にリソースの枯渇に関する脆弱性
---------------------------------------------------------------------------------------------
※2020/10/29 ICS-CERT 公開分の更新(Update B)
<更新内容>
・影響を受ける製品:情報更新
【深 刻 度】基本値
7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、パッチ適用およびリスク緩和策)
【脆弱性番号】CVE-2020-5652
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-20-303-01---------------------------------------------------------------------------------------------
[アドバイザリ]
mySCADA 社の SCADA ソフトウェア myPRO に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップグレード)
【脆弱性番号】CVE-2021-43985(代替パスまたはチャネルを使用した認証回避)
CVE-2021-43989(強度が不十分なパスワードハッシュの使用)
CVE-2021-43987(非公開の機能)
CVE-2021-44453(OSコマンドインジェクション)
CVE-2021-22657(OSコマンドインジェクション)
CVE-2021-23198(OSコマンドインジェクション)
CVE-2021-43981(OSコマンドインジェクション)
CVE-2021-43984(OSコマンドインジェクション)
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-01---------------------------------------------------------------------------------------------
[アドバイザリ]
Horner Automation 社の Cscape EnvisionRV に入力確認に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2021-44462
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-02---------------------------------------------------------------------------------------------
[アドバイザリ]
WECON 社の LeviStudioU に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】ベンダに連絡
【脆弱性番号】CVE-2021-23138(スタックベースのバッファオーバーフロー)
CVE-2021-23157(ヒープベースのバッファオーバーフロー)
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-03---------------------------------------------------------------------------------------------
[アドバイザリ]
Emerson 社の 分散制御システム DeltaV に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
8.1(AV:L/AC:L/PR:L/UI:R/S:C/C:L/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(パッチ)
【脆弱性番号】CVE-2021-26264(重要な機能に対する認証の欠如)
CVE-2021-44463(制御されていない検索パスの要素)
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-04---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Schneider Electric 社の Rack Power Distribution Unit (PDU)
に情報漏えいに関する脆弱性
---------------------------------------------------------------------------------------------
※2021/12/14 ICS-CERT 公開分の更新(Update A)
<更新内容>
・深刻度/脆弱性:情報更新
【深 刻 度】基本値
6.5(AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:L)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(ファームウェア・アップデート)
【脆弱性番号】CVE-2021-22825
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-348-02---------------------------------------------------------------------------------------------
[メディカルアドバイザリ]
Fresenius Kabi 社の 輸液システム Agilia Connect に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップグレード)
【脆弱性番号】CVE-2021-23236(リソースの枯渇)
CVE-2021-31562(危殆化した、またはリスクの高い暗号アルゴリズムの使用)
CVE-2021-41835(危殆化した、またはリスクの高い暗号アルゴリズムの使用)
CVE-2021-23196(認証情報の不十分な保護)
CVE-2021-23233(不適切なアクセス制御)
CVE-2021-23207(認証情報の平文保存)
CVE-2021-33843(外部からアクセス可能なファイルまたはディレクトリ)
CVE-2021-23195(ディレクトリリスティングによる情報漏えい)
CVE-2021-33848(クロスサイトスクリプティング)
CVE-2021-44464(ハードコードされた認証情報の使用)
CVE-2021-33846(危殆化した、またはリスクの高い暗号アルゴリズムの使用)
CVE-2021-43355(クライアント側認証の使用)
CVE-2020-35340(メンテナンスされていないサードパーティ製
コンポーネントの使用)
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsma-21-355-01---------------------------------------------------------------------------------------------
[アドバイザリ]
Xylem 社の AquaView にハードコードされた認証情報の使用に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
9.3(AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】ベンダアドバイザリ参照
【脆弱性番号】CVE-2021-42833
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-01---------------------------------------------------------------------------------------------
[アドバイザリ]
Delta Electronics 社の CNCSoft に境界外読み取りに関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
6.1(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:L)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップグレードおよびリスク緩和策)
【脆弱性番号】CVE-2021-44768
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-02---------------------------------------------------------------------------------------------
[アドバイザリ]
Wibu-Systems 社の CodeMeter Runtime に権限管理に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.1(AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデートおよびリスク緩和策)
【脆弱性番号】CVE-2021-41057
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-03---------------------------------------------------------------------------------------------
[アドバイザリ]
三菱電機 の シーケンサエンジニアリングソフトウェア GX Works2
に長さのパラメータの不適切な処理に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
5.3(AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデートおよびリスク緩和策)
【脆弱性番号】CVE-2021-20608
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-04---------------------------------------------------------------------------------------------
[アドバイザリ]
三菱電機 の 複数の FA エンジニアリング製品 に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
5.5(AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデートおよびリスク緩和策)
【脆弱性番号】CVE-2021-20606(境界外読み取り)
CVE-2021-20607(整数アンダーフロー)
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-05---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の Capital VSTAR に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
8.8(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-31344(型の取り違え)
CVE-2021-31345(入力で指定された数量の不適切な検証)
CVE-2021-31346(入力で指定された数量の不適切な検証)
CVE-2021-31881(境界外読み取り)
CVE-2021-31882(バッファエラー)
CVE-2021-31883(バッファエラー)
CVE-2021-31884(不適切なNULLによる終了)
CVE-2021-31889(整数アンダーフロー)
CVE-2021-31890(一貫性のない構造要素の不適切な処理)
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-06---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の 電圧計測器 POWER METER SICAM Q100
にスタックベースのバッファオーバーフローの脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
9.1(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2021-44165
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-07---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の JT Open Toolkit (JTTK) および JT Utilities に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-44446(境界外書き込み)
CVE-2021-44447(解放済みメモリの使用)
CVE-2021-44448(境界外読み取り)
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-08---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SINUMERIK Edge に証明書検証に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.4(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2021-42027
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-09---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の 3Dビジュアライゼーションツール JT2Go および
Teamcenter Visualization に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-44001(境界外書き込み)
CVE-2021-44002(境界外書き込み)
CVE-2021-44003(初期化されていない変数の使用)
CVE-2021-44004(境界外読み取り)
CVE-2021-44005(境界外書き込み)
CVE-2021-44006(境界外書き込み)
CVE-2021-44007(境界条件の判定)
CVE-2021-44008(境界外読み取り)
CVE-2021-44009(境界外読み取り)
CVE-2021-44010(境界外読み取り)
CVE-2021-44011(境界外読み取り)
CVE-2021-44012(境界外読み取り)
CVE-2021-44013(境界外書き込み)
CVE-2021-44014(解放済みメモリの使用)
CVE-2021-44015(境界外読み取り)
CVE-2021-44017(境界外読み取り)
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-10---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SIMATIC eaSie PCS 7 Skill Package にパストラバーサルの脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2021-42022
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-11---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SIMATIC ITC 製品
に既知の脆弱性のあるコンポーネントの使用に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2017-18922、CVE-2018-20019、CVE-2018-20748、CVE-2018-20749、
CVE-2018-20750、CVE-2018-21247、CVE-2019-15681、CVE-2019-15690、
CVE-2019-20788、CVE-2019-20839、CVE-2019-20840、CVE-2020-14396、
CVE-2020-14397、CVE-2020-14398、CVE-2020-14401、CVE-2020-14402、
CVE-2020-14403、CVE-2020-14404、CVE-2020-14405
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-12---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の シミュレータ Questa および ModelSim
に認証情報の不十分な保護に関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
9.0(AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップグレード、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-42023
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-13---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の Siveillance Identity に誤った領域へのリソースの漏えいに関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-44522、CVE-2021-44523、CVE-2021-44524
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-14---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の Simcenter STAR-CCM+ Viewer に境界外書き込みに関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2021-42024
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-15---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens Healthineers 社の Syngo fastView に境界外書き込みに関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-40367、CVE-2021-42028
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-16---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の JT Open Toolkit (JTTK) および JT Utilities に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-44430(境界外書き込み)
CVE-2021-44431(境界外読み取り)
CVE-2021-44432(スタックベースのバッファオーバーフロー)
CVE-2021-44433(解放済みメモリの使用)
CVE-2021-44434(境界外書き込み)
CVE-2021-44435(スタックベースのバッファオーバーフロー)
CVE-2021-44436(境界外読み取り)
CVE-2021-44437(境界外書き込み)
CVE-2021-44438(境界外書き込み)
CVE-2021-44439(境界外読み取り)
CVE-2021-44440(バッファエラー)
CVE-2021-44441(境界外書き込み)
CVE-2021-44442(ヒープベースのバッファオーバーフロー)
CVE-2021-44443(境界外書き込み)
CVE-2021-44444(境界外読み取り)
CVE-2021-44445(ヒープベースのバッファオーバーフロー)
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-17---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の Teamcenter Active Workspace にパストラバーサルの脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
6.8(AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-41547
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-18---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SiPass Integrated に誤った領域へのリソースの漏えいに関する脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップグレード)
【脆弱性番号】CVE-2021-44522、CVE-2021-44523、CVE-2021-44524
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-19---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の JT Open Toolkit (JTTK) および JT Utilities に複数の脆弱性
---------------------------------------------------------------------------------------------
【深 刻 度】基本値
7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-44449(境界外書き込み)
CVE-2021-44450(境界外読み取り)
【参 照】
https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-20---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の Nucleus RTOS ベースの APOGEE および TALON 製品に複数の脆弱性
---------------------------------------------------------------------------------------------
※2021/11/11 ICS-CERT 公開分の更新(Update A)
<更新内容>
・影響を受ける製品:情報更新
【深 刻 度】基本値
9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(ワークアラウンド(回避策)・リスク緩和策)
【脆弱性番号】CVE-2021-31344(型の取り違え)
CVE-2021-31345(入力で指定された数量の不適切な検証)
CVE-2021-31346(入力で指定された数量の不適切な検証)
CVE-2021-31881(境界外読み取り)
CVE-2021-31882(バッファエラー)
CVE-2021-31883(バッファエラー)
CVE-2021-31884(不適切なNULLによる終了)
CVE-2021-31885(不適切な長さの値によるバッファへのアクセス)
CVE-2021-31886(不適切なNULLによる終了)
CVE-2021-31887(不適切なNULLによる終了)
CVE-2021-31888(不適切なNULLによる終了)
CVE-2021-31889(整数アンダーフロー)
CVE-2021-31890(一貫性のない構造要素の不適切な処理)
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-315-07---------------------------------------------------------------------------------------------
[アドバイザリ]
Delta Electronics 社の DIAEnergie に複数の脆弱性
---------------------------------------------------------------------------------------------
※2021/8/26 ICS-CERT 公開分の更新(Update A)
<更新内容>
・脆弱性番号/対策:情報更新
【深 刻 度】基本値
9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2021-33003(強度が不十分なパスワードハッシュの使用)
CVE-2021-32967(代替パスまたはチャネルを使用した認証回避)
CVE-2021-32955(危険なタイプのファイルの無制限アップロード)
CVE-2021-32983(SQLインジェクション)
CVE-2021-38390(SQLインジェクション)
CVE-2021-38391(SQLインジェクション)
CVE-2021-38393(SQLインジェクション)
CVE-2021-32991(クロスサイトリクエストフォージェリ)
CVE-2021-23228(クロスサイトスクリプティング)
CVE-2021-44544(クロスサイトスクリプティング)
CVE-2021-31558(クロスサイトスクリプティング)
CVE-2021-44471(クロスサイトスクリプティング)
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-238-03---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
HCC Embedded 社の InterNiche stack (NicheStack) および NicheLite に複数の脆弱性
---------------------------------------------------------------------------------------------
※2021/8/5 ICS-CERT 公開分の更新(Update B)
<更新内容>
・対策:情報更新
【深 刻 度】基本値
9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート)
【脆弱性番号】CVE-2020-25767(期待された範囲外のポインタ値の返却)
CVE-2020-25928(長さのパラメータの不適切な処理)
CVE-2020-25927(長さのパラメータの不適切な処理)
CVE-2020-25926(不十分なランダム値の使用)
CVE-2020-35683(不適切な入力確認)
CVE-2020-35684(不適切な入力確認)
CVE-2020-35685(不十分なランダム値の使用)
CVE-2021-31400(例外がキャッチされない問題)
CVE-2021-31401(不適切な入力確認)
CVE-2021-31226(不適切な入力確認)
CVE-2021-31227(最小値チェックのない数値範囲比較)
CVE-2021-31228(予測可能な数字や識別子の生成)
CVE-2021-27565(例外条件の不適切なチェックまたは処理)
CVE-2021-36762(不適切なNULLによる終了)
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-217-01---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の Linux ベースの製品 に不十分なランダム値の使用に関する脆弱性
---------------------------------------------------------------------------------------------
※2021/5/11 ICS-CERT 公開分の更新(Update G)
<更新内容>
・影響を受ける製品/対策:情報更新
【深 刻 度】基本値
7.4(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-25705
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-21-131-03---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
三菱電機 の MELSEC iQ-R シリーズ にリソースの枯渇に関する脆弱性
---------------------------------------------------------------------------------------------
※2020/11/19 ICS-CERT 公開分の更新(Update C)
<更新内容>
・影響を受ける製品:情報更新
【深 刻 度】基本値
7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(ファームウェア・アップデートおよびリスク緩和策)
【脆弱性番号】CVE-2020-5668
【参 照】
https://us-cert.cisa.gov/ics/advisories/icsa-20-324-05---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 産業用製品 SIMOTICS、Desigo、APOGEE、および TALON
にビジネスロジックの脆弱性
---------------------------------------------------------------------------------------------
※2020/4/14 ICS-CERT 公開分の更新(Update B)
<更新内容>
・影響を受ける製品/対策:情報更新
【深 刻 度】基本値
7.1(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2019-13939
【参 照】
https://www.us-cert.gov/ics/advisories/icsa-20-105-06---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の TIA ポータル にパストラバーサルの脆弱性
---------------------------------------------------------------------------------------------
※2020/1/14 ICS-CERT 公開分の更新(Update C)
<更新内容>
・影響を受ける製品/対策:情報更新
【深 刻 度】基本値
7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(
CVSSv3)
【攻撃コード】現状確認されていない
【対 策】有り(アップデートおよびワークアラウンド(回避策)・リスク緩和策)
【脆弱性番号】CVE-2019-10934
【参 照】
https://www.us-cert.gov/ics/advisories/icsa-20-014-05
