JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月9日、「JVNVU#98748974: Siemens製品に対するアップデート(2022年2月)」において、Siemens製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってサービス運用妨害(DoS: Denial of Service)、情報漏えい、フィッシング攻撃などを引き起こされる危険性があるとされており注意が必要。

脆弱性に関する情報は次のページにまとまっている。

SSA-244969_V1.0: OpenSSL Vulnerability in Industrial Products

SSA-301589_V1.0: Multiple File Parsing Vulnerabilities in Solid Edge, JT2Go and Teamcenter Visualization

SSA-539476_V1.0: Siemens SIMATIC NET CP, SINEMA and SCALANCE Products Affected by Vulnerabilities in Third-Party Component strongSwan

SSA-609880_V1.0: File Parsing Vulnerabilities in Simcenter Femap before V2022.1

SSA-654775_V1.0: Open Redirect Vulnerability in SINEMA Remote Connect Server

SSA-669737_V1.0: Improper Access Control Vulnerability in SICAM TOOLBOX II

SSA-831168_V1.0: Cross-Site Scripting Vulnerability in Spectrum Power 4

SSA-838121_V1.0: Multiple Denial of Service Vulnerabilities in Industrial Products

SSA-914168_V1.0: Multiple Vulnerabilities in SIMATIC WinCC Affecting Other SIMATIC Software Products

SSA-978692_V1.0: Apache Log4j Vulnerabilities - Impact to Siemens Energy Omnivise Fleet Management

JVNVU#98748974: Siemens製品に対するアップデート(2022年2月)


上記の脆弱性のうち、2つは深刻度が緊急(Critical)と評価されており注意が必要。該当する製品が多岐におよぶことから、上記のセキュリティ脆弱性情報をよく確認するとともに、該当する製品を使っている場合は迅速に対応することが望まれる。JPCERT/CCは開発者の提供する情報に基づいてアップデートやワークアラウンドを実施することを推奨している。