情報セキュリティ

CISAが公開した制御システムの脆弱性情報(直近1ヶ月)

最終更新日:2025年1月20日

米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。

[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]

CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。

  • CISAが公開した脆弱性のIPAでの公開

なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。

  1. (脚注1)
    本ページに掲載しているのは、CISAが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。

2025年1月16日公開

アドバイザリ
Siemens 社の Mendix LDAP に LDAP インジェクションの脆弱性
深刻度 基本値 7.4(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-56841
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-016-01
アドバイザリ
Siemens 社の Industrial Edge Management にクロスサイトスクリプティングの脆弱性
深刻度 基本値 4.7(AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N)(CVSSv3
基本値 2.1(AV:N/AC:H/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-45385
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-016-02
アドバイザリ
Siemens 社の Siveillance Video Camera にログファイルからの情報漏えいに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 5.2(AV:L/AC:L/AT:P/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-12569
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-016-03
アドバイザリ
Siemens 社の SIPROTEC 5 に外部からアクセス可能なファイルまたはディレクトリに関する脆弱性
深刻度 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
基本値 7.1(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-53649
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-016-04
アドバイザリ
富士電機 の Alpha5 SMART にスタックベースのバッファオーバーフローの脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップグレード)
脆弱性番号 CVE-2024-34579
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-016-05
アドバイザリ
日立エナジー の FOX61x、FOXCST、および FOXMAN-UN にホストの不一致による証明書の検証に関する脆弱性
深刻度 基本値 4.9(AV:P/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-2462
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-016-06
アドバイザリ
日立エナジー の FOX61x に相対パストラバーサルの脆弱性
深刻度 基本値 4.9(AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-2461
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-016-07
アドバイザリ
Schneider Electric 社の Data Center Expert に複数の脆弱性
深刻度 基本値 7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-8531(デジタル署名の不適切な検証)
CVE-2024-8530(重要な機能に対する認証の欠如)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-016-08
アドバイザリ【更新】
三菱電機 の 複数のファクトリーオートメーション製品 に不十分なリソースプールに関する脆弱性
2024年2月27日 CISA公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
深刻度 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 CVE-2023-7033
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-058-01
アドバイザリ【更新】
Delta Electronics 社の DRASimuCAD に複数の脆弱性
2025年1月9日 CISA公開分の更新(Update A)
[更新内容] 対策:情報更新
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(パッチ適用)
脆弱性番号 CVE-2024-12834(型の取り違え)
CVE-2024-12835(境界外書き込み)
CVE-2024-12836(型の取り違え)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-010-03
アドバイザリ【更新】
Johnson Controls 社の Software House C・CURE 9000 に不適切なデフォルトパーミッションに関する脆弱性
2024年7月9日 CISA公開分の更新(Update A)
[更新内容] 対策:情報更新
深刻度 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-32861
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-191-05
アドバイザリ【更新】
三菱電機 の FA エンジニアリングソフトウェア製品 に複数の脆弱性
2024年1月30日 CISA公開分の更新(Update B)
[更新内容] 影響を受ける製品/対策:情報更新
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2023-6942(重要な機能に対する認証の欠如)
CVE-2023-6943(クラスまたはコードを選択する外部から制御された入力の使用)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-02

2025年1月14日公開

アドバイザリ
日立エナジー の FOXMAN-UN に複数の脆弱性
深刻度 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-2013(代替パスまたはチャネルを使用した認証回避)
CVE-2024-2012(引数の挿入または変更)
CVE-2024-2011(ヒープベースのバッファオーバーフロー)
CVE-2024-28020(不適切なユーザ管理)
CVE-2024-28021(不正な証明書検証)
CVE-2024-28022(過度な認証試行の不適切な制限)
CVE-2024-28023(ハードコードされたパスワードの使用)
CVE-2024-28024(重要な情報の平文保存)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-014-01
アドバイザリ
Schneider Electric 社の Vijeo Designer に権限管理に関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-8306
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-014-02
アドバイザリ
Schneider Electric 社の EcoStruxure にクロスサイトスクリプティングの脆弱性
深刻度 基本値 5.4(AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップグレード、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-8401
参照


アドバイザリ
Belledonne Communications 社の Linphone-Desktop に NULL ポインタデリファレンスに関する脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L)(CVSSv3
基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-0430
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-014-04

2025年1月10日公開

アドバイザリ
Schneider Electric 社の PowerChute Serial Shutdown に認証に関する脆弱性
深刻度 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3
基本値 6.3(AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2024-10511
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-010-01
アドバイザリ
Schneider Electric 社の Harmony HMI および Pro-face HMI 製品 にメンテナンスされていないサードパーティ製コンポーネントの使用に関する脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 CVE-2024-11999
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-010-02
アドバイザリ
Delta Electronics 社の DRASimuCAD に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 1月中にアップデートバージョンをリリース予定
脆弱性番号 CVE-2024-12834(型の取り違え)
CVE-2024-12835(境界外書き込み)
CVE-2024-12836(型の取り違え)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-010-03-0


アドバイザリ【更新】
Rockwell Automation 社の Arena に複数の脆弱性(Update A)
2024年12月10日 CISA公開分の更新(Update A)
[更新内容] 脆弱性番号:情報更新
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2024-11155(解放済みメモリの使用)
CVE-2024-11156(境界外書き込み)
CVE-2024-11158(不適切な初期化)
CVE-2024-12130(境界外読み取り)
CVE-2024-11157(境界外書き込み)
CVE-2024-12175(解放済みメモリの使用)
CVE-2024-12672(脆弱なサードパーティ製コンポーネントへの依存)
CVE-2024-11364(脆弱なサードパーティ製コンポーネントへの依存)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-06

2025年1月7日公開

アドバイザリ
ABB 社の ASPECT-Enterprise、NEXUS、および MATRIX シリーズ製品 に複数の脆弱性
深刻度 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-6209(外部からアクセス可能なファイルまたはディレクトリ)他、計26個
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-007-01
アドバイザリ
Nedap Librix 社の Ecoreader に重要な機能に対する認証の欠如に関する脆弱性
深刻度 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L)(CVSSv3
攻撃コード 現状確認されていない
対策 ベンダからの返答無し
脆弱性番号 CVE-2024-12757
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-007-02

2024年12月19日公開

アドバイザリ
日立エナジー の RTU500 series CMU に古典的バッファオーバーフローの脆弱性
深刻度 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート、リスク緩和策)
脆弱性番号 CVE-2023-6711
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-354-01
アドバイザリ
日立エナジー の SDM600 に複数の脆弱性
深刻度 基本値 8.0(AV:A/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-2377(同一生成元ポリシー違反)
CVE-2024-2378(不正な認証)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-354-02
アドバイザリ
Delta Electronics 社の DTM Soft に信頼性のないデータのデシリアライゼーションに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2024-12677
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-354-03
アドバイザリ
Siemens 社の User Management Component (UMC) にヒープベースのバッファオーバーフローの脆弱
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-49775
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-354-04
アドバイザリ
Tibbo 社の AggreGate Network Manager に危険なタイプのファイルの無制限アップロードに関する脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2024-12700
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-354-05
アドバイザリ
Schneider Electric 社の Accutech Manager に古典的バッファオーバーフローの脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-6918
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-354-06
アドバイザリ
Schneider Electric 社の Modicon Controllers にクロスサイトスクリプティングの脆弱性
深刻度 基本値 5.4(AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-6528
参照
メディカルアドバイザリ
Ossur 社の Mobile Logic Application に複数の脆弱性
深刻度 基本値 4.4(AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート、リスク緩和策)
脆弱性番号 CVE-2024-53683(保認可されていない制御領域への重要情報の漏えい)
CVE-2024-54681(コマンドインジェクション)
CVE-2024-45832(ハードコードされた認証情報の使用)
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-354-01


2024年12月17日公開

アドバイザリ
ThreatQuotient 社の ThreatQ Platform にコマンドインジェクションの脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2024-39703
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-352-01
アドバイザリ
日立エナジー の TropOS Devices Series 1400/2400/6400 に入力確認に関する脆弱性
深刻度 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2013-5211
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-352-02
アドバイザリ
Rockwell Automation 社の PowerMonitor 1000 Remote に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップグレード、リスク緩和策)
脆弱性番号 CVE-2024-12371(保護されていない代替チャネル)
CVE-2024-12372(ヒープベースのバッファオーバーフロー)
CVE-2024-12373(古典的バッファオーバーフロー)
参照
アドバイザリ
Schneider Electric 社の Modicon M241/M251/M258/LMC058 に入力確認に関する脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 ベンダ対応予定。それまではリスク緩和策。
脆弱性番号 CVE-2024-11737
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-352-04
メディカルアドバイザリ
Becton, Dickinson and Company (BD) 社の Diagnostic Solutions Products にデフォルトの認証情報の使用に関する脆弱性
深刻度 基本値 8.0(AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-10476
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-352-01

2024年12月12日公開

アドバイザリ
Siemens 社の CPCI85 Central Processing/Communication に認証情報の不十分な保護に関する脆弱性
深刻度 基本値 4.6(AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
基本値 5.1(AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-53832
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-347-01
アドバイザリ
Siemens 社の Siemens Engineering Platforms に入力確認に関する脆弱性
深刻度 基本値 7.3(AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 7.0(AV:L/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-52051
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-347-02
アドバイザリ
Siemens 社の RUGGEDCOM ROX II にクロスサイトリクエストフォージェリの脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.6(AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2020-28398
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-347-03
アドバイザリ
Siemens 社の Parasolid に境界外書き込みに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-54091
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-347-04
アドバイザリ
Siemens 社の Siemens Engineering Platforms に信頼性のないデータのデシリアライゼーションに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-49849
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-347-05
アドバイザリ
Siemens 社の Simcenter Femap に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-41981(ヒープベースのバッファオーバーフロー)
CVE-2024-47046(バッファエラー)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-347-06
アドバイザリ
Siemens 社の Solid Edge SE2024 に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-54093(ヒープベースのバッファオーバーフロー)
CVE-2024-54094(ヒープベースのバッファオーバーフロー)
CVE-2024-54095(整数アンダーフロー)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-347-07
アドバイザリ
Siemens 社の COMOS に XML 外部エンティティの脆弱性
深刻度 基本値 5.5(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)(CVSSv3
基本値 5.9(AV:L/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-49704、CVE-2024-54005
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-347-08
アドバイザリ
Siemens 社の Teamcenter Visualization に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-45463(境界外読み取り)
CVE-2024-45464(境界外読み取り)
CVE-2024-45465(境界外読み取り)
CVE-2024-45466(境界外読み取り)
CVE-2024-45467(バッファエラー)
CVE-2024-45468(バッファエラー)
CVE-2024-45469(境界外書き込み)
CVE-2024-45470(境界外書き込み)
CVE-2024-45471(境界外書き込み)
CVE-2024-45472(バッファエラー)
CVE-2024-45473(バッファエラー)
CVE-2024-45474(バッファエラー)
CVE-2024-45475(バッファエラー)
CVE-2024-45476(NULLポインタデリファレンス)
CVE-2024-52565(境界外書き込み)
CVE-2024-52566(境界外書き込み)
CVE-2024-52567(境界外読み取り)
CVE-2024-52568(解放済みメモリの使用)
CVE-2024-52569(境界外書き込み)
CVE-2024-52570(境界外書き込み)
CVE-2024-52571(境界外書き込み)
CVE-2024-52572(スタックベースのバッファオーバーフロー)
CVE-2024-52573(境界外書き込み)
CVE-2024-52574(境界外読み取り)
CVE-2024-53041(スタックベースのバッファオーバーフロー)
CVE-2024-53242(境界外読み取り)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-347-09
アドバイザリ
Siemens 社の SENTRON Powercenter 1000 に 不正な同期に関する脆弱性
深刻度 基本値 5.3(AV:A/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
基本値 5.9(AV:A/AC:L/AT:P/PR:N/UI:P/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-6657
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-347-10

2024年12月10日公開

アドバイザリ
MOBATIME 社の Network Master Clock - DTS 4801 にデフォルトの認証情報の使用に関する脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート)
脆弱性番号 CVE-2024-12286
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-01

アドバイザリ
Schneider Electric 社の EcoStruxure Foxboro DCS Core Control Services に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(パッチ適用)
脆弱性番号 CVE-2024-5679(境界外書き込み)
CVE-2024-5680(配列インデックスの不適切な検証)
CVE-2024-5681(不適切な入力確認)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-02
アドバイザリ
Schneider Electric 社の FoxRTU Station にパストラバーサルの脆弱性
深刻度 基本値 7.3(AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-2602
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-03

アドバイザリ
National Instruments 社の LabVIEW に境界外読み取りに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップグレード)
脆弱性番号 CVE-2024-10494、CVE-2024-10495、CVE-2024-10496
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-04
アドバイザリ
Horner Automation 社の Cscape に境界外読み取りに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2024-9508、CVE-2024-12212
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-05
アドバイザリ
Rockwell Automation 社の Arena に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップグレード、リスク緩和策)
脆弱性番号 CVE-2024-11155(解放済みメモリの使用)
CVE-2024-11156(境界外書き込み)
CVE-2024-11158(不適切な初期化)
CVE-2024-12130(境界外読み取り)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-06
アドバイザリ【更新】
Ruijie 社の Reyee OS に複数の脆弱性
2024年12月3日 CISA公開分の更新(Update A)
[更新内容] 深刻度:情報更新
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 クラウド上でベンダ修正済み。エンドユーザの対応不要。
脆弱性番号 CVE-2024-47547(パスワードを忘れた場合の脆弱なパスワードリカバリの仕組み)
CVE-2024-42494(認可されていない行為者への個人情報の漏えい)
CVE-2024-51727(予定耐用年数中のリソースの早期リリース)
CVE-2024-47043(重要情報のセキュアでない保存)
CVE-2024-45722(弱い認証情報の使用)
CVE-2024-47791(ワイルドカードまたは照合シンボルの不適切な無害化)
CVE-2024-46874(権限管理不備)
CVE-2024-48874(サーバーサイドのリクエストフォージェリ)
CVE-2024-52324(本質的に危険な機能の使用)
CVE-2024-47146(リソースの漏えい)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-01

CISA公開脆弱性情報のJVN iPediaでの検索

CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。

■特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」

■CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
 (検索例:2017年のICSMAアドバイザリ
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
 (検索例:2017年のICSAアドバイザリ
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
 (検索例:過去のICS Alert

■キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」

必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。

IPAにおける制御システムのセキュリティへの取組み

 IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。

お問い合わせ先

IPA セキュリティ センター(IPA/ISEC)

  • E-mail

    isec-icsアットマークipa.go.jp

CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。