シーメンスの複数製品に脆弱性、対象多く確認と対応を

JPCERTコーディネーションセンター（JPCERT/CC: Japan Computer Emergency Response Team Coordination Center）は9月15日、「JVNVU#96712416: Siemens製品に対するアップデート（2021年9月）」において、シーメンスから20を超える同社製品向けのアップデートが公開されたと伝えた。対象となる製品が多岐にわたるため注意が必要。

脆弱性に関する情報は次のページにまとまっている。

• SSA-109294_V1.0 - SSA-109294: Scene File Parsing Vulnerability in Simcenter STAR-CCM+ Viewer
• SSA-150692_V1.0 - SSA-150692: Multiple Vulnerabilities in RUGGEDCOM ROX
• SSA-208530_V1.0 - SSA-208530: File parsing vulnerabilities in IFC adapter in NX
• SSA-288459_V1.0 - SSA-288459: Heap Overflow Vulnerability in RFID terminals
• SSA-316383_V1.0 - SSA-316383: NumberJack Vulnerability in LOGO! CMR family and SIMATIC RTU 3000 family
• SSA-330339_V1.0 - SSA-330339: Web Vulnerabilities in SINEC NMS
• SSA-334944_V1.0 - SSA-334944: Vulnerability in SINEMA Remote Connect Server
• SSA-413407_V1.0 - SSA-413407: Path Traversal Vulnerability in Teamcenter Active Workspace
• SSA-453715_V1.0 - SSA-453715: Deserialization Vulnerability in CCOM Communication Component of Desigo CC Family
• SSA-500748_V1.0 - SSA-500748: Denial-of-Service Vulnerabilities in SIPROTEC 5 Devices
• SSA-535380_V1.0 - SSA-535380: Command Injection Vulnerability in Siveillance OIS Affecting Several Building Management Systems
• SSA-535997_V1.0 - SSA-535997: Cleartext Storage of Sensitive Information in Multiple SIMATIC Products
• SSA-549234_V1.0 - SSA-549234: Denial-of-Service Vulnerability in SIMATIC NET CP Modules
• SSA-676336_V1.0 - SSA-676336: OpenSSH Vulnerabilities in SCALANCE X-200 and X-300/X408 Switches
• SSA-692317_V1.0 - SSA-692317: Authorization Bypass Vulnerability in Industrial Edge
• SSA-756638_V1.0 - SSA-756638: Vulnerabilities in Third-Party Component Mbed TLS of LOGO! CMR Family and SIMATIC RTU 3000 Family
• SSA-835377_V1.0 - SSA-835377: Missing Authentication Vulnerability in SINEMA Server
• SSA-847986_V1.0 - SSA-847986: Denial-of-Service Vulnerabilities in SIPROTEC 5 relays
• SSA-944498_V1.0 - SSA-944498: Buffer Overflow Vulnerability in Web Server of APOGEE and TALON Automation Devices
• SSA-987403_V1.0 - SSA-987403: Multiple Vulnerabilities in Teamcenter
• SSA-997732_V1.0 - SSA-997732: Modfem File Parsing Vulnerability in Simcenter Femap before V2021.2

• SSA-109294_V1.0 - SSA-109294: Scene File Parsing Vulnerability in Simcenter STAR-CCM+ Viewer

修正対象となっている脆弱性は任意のコード実行、情報窃取、特権昇格、ファイルシステムへのアクセス、サービス運用妨害(DoS: Denial of Service)攻撃、設定の改ざん、ユーザー詐称、アカウント乗っ取りなど多種多様。JPCERT/CCは開発者の提供する情報に基づいて、アップデートを適用することを推奨している。