JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月12日、「JVNVU#98508242: Siemens製品に対するアップデート(2022年1月)」において、Siemensの複数の製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってさまざまなサイバー攻撃が実施される恐れがあるとされている。
-
JVNVU#98508242: Siemens製品に対するアップデート(2022年1月)
脆弱性に関する情報は次のページにまとまっている。
- SSA-173318: Unquoted Search Path Vulnerability in SICAM PQ Analyzer
- SSA-324998: Multiple Vulnerabilities in SICAM A8000
- SSA-439673: Information Disclosure Vulnerability in SIPROTEC 5 Devices
- SSA-845392: Multiple Vulnerabilities in Nucleus RTOS based Siemens Energy PLUSCONTROL 1st Gen Devices
- SSA-995338: Multiple Vulnerabilities in COMOS Web
シーメンスの脆弱性に関しては、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)も、次のページにおいて、注意喚起を行っている。
- Siemens SICAM A8000 | CISA
- Siemens Energy PLUSCONTROL | CISA
- Siemens SIPROTEC 5 Devices | CISA
- Siemens COMOS Web | CISA
- Siemens SICAM PQ Analyzer | CISA
脆弱性の一つは深刻度が緊急(Critical)と分析されており注意が必要。JPCERT/CCは開発者の提供する情報にもとづいてアップデートやワークアラウンドを適用することを推奨している。
