公開日:2025/08/13 最終更新日:2025/08/20

JVNVU#92169998
Siemens製品に対するアップデート(2025年8月)

概要

Siemensから各製品向けのアップデートが公開されました。

影響を受けるシステム

影響を受ける製品は多岐に渡ります。詳細については各アドバイザリを参照してください。

詳細情報

Siemensから各製品向けのアップデートが公開されました。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

SSA-028723

  • OpenSSLの脆弱性による影響(詳細は、開発者の提供する「SSA-028723」を参照)
SSA-094954
  • ルートシェルへのアクセス
SSA-177847
  • 不正なリモートアクセスによるシステムの機密性、完全性、可用性の侵害
SSA-186293
  • 任意のファイルの読み取り
SSA-282044
  • 任意のコード実行
SSA-331739
  • 権限昇格
SSA-355557
  • 複数のサードパーティー製コンポーネントの脆弱性による影響(詳細は、開発者の提供する「SSA-355557」を参照)
SSA-382999
  • アプリケーションへのアクセス
  • 機微な情報の取得
  • SQLステートメントの漏えい
  • システムアプリケーションへのアクセス
  • 不正アクセス
  • 中間者攻撃によるデータの機密性、完全性の侵害
SSA-400089
  • サービス運用妨害(DoS)攻撃
SSA-493396
  • 任意のコード実行
SSA-493787
  • NT Authority/SYSTEM権限での任意のコード実行
SSA-517338
  • 複数のサードパーティー製コンポーネントの脆弱性による影響(詳細は、開発者の提供する「SSA-517338」を参照)
  • サービス運用妨害(DoS)攻撃
  • 権限昇格、情報漏えい
  • アプリケーションへのアクセス
  • クロスサイトスクリプティング
  • 中間者攻撃
SSA-529291
  • SMTPサービスの悪用
SSA-613116
  • 複数のサードパーティー製コンポーネントの脆弱性による影響(詳細は、開発者の提供する「SSA-613116」を参照)
SSA-665108
  • 任意のファイルアップロード
SSA-674084
  • 任意のコード実行
SSA-693808
  • 任意のコード実行
SSA-707630
  • サービス運用妨害(DoS)攻撃
  • 権限昇格
SSA-769791
  • Open Design Alliance Drawings SDKの脆弱性による影響(詳細は、開発者の提供する「SSA-769791」を参照)
SSA-894058
  • サービス運用妨害(DoS)攻撃
SSA-978177
  • Nozomi Guardian/CMCの脆弱性による影響(詳細は、開発者の提供する「SSA-978177」を参照)
SSA-994087
  • SQLiteコンポーネントの脆弱性による影響(詳細は、開発者の提供する「SSA-994087」を参照)
SSA-201595
  • WIBU Systems CodeMeter Runtimeの脆弱性による影響(詳細は、開発者の提供する「SSA-201595」を参照)
SSA-395458
  • 特定のSSO設定におけるアカウントの乗っ取り

対策方法

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。

ベンダ情報

ベンダ リンク
Siemens SSA-028723: Multiple OpenSSL Vulnerabilities in BFCClient Before V2.17
SSA-094954: Authentication Bypass Vulnerability in BIST mode of RUGGEDCOM ROX II
SSA-177847: Improper VNC Password Check Vulnerability in SINUMERIK Controllers
SSA-186293: XML External Entity (XXE) Injection Vulnerability in SIMOTION SCOUT, SIMOTION SCOUT TIA and SINAMICS STARTER
SSA-282044: DLL Hijacking Vulnerability in Siemens Web Installer used by the Online Software Delivery
SSA-331739: Privilege Escalation Vulnerability in WIBU CodeMeter Runtime Affecting Siemens Products
SSA-355557: Multiple Vulnerabilities in Third-Party Components in SINEC OS before V3.2
SSA-382999: Multiple Vulnerabilities in Opcenter Quality Before V2506
SSA-400089: Denial of Service Vulnerability in SIPROTEC 4 and SIPROTEC 4 Compact
SSA-493396: Deserialization Vulnerability in Siemens Engineering Platforms
SSA-493787: Arbitrary Code Execution Vulnerability in SIMATIC RTLS Locating Manager Before V3.2
SSA-517338: Multiple Vulnerabilities in SINEC Traffic Analyzer Before V3.0
SSA-529291: Information Disclosure Vulnerabilities in SICAM Q100/Q200
SSA-613116: Multiple Vulnerabilities in Third-Party Components in SINEC OS before V3.1
SSA-665108: Arbitrary File Upload Vulnerability in RUGGEDCOM ROX II
SSA-674084: File Parsing Vulnerabilities in Simcenter Femap Before V2506
SSA-693808: Deserialization Vulnerability in Siemens Engineering Platforms
SSA-707630: Multiple Vulnerabilities in SIMATIC RTLS Locating Manager Before V3.3
SSA-769791: Local Arbitrary Code Execution Vulnerability in COMOS Before V10.6
SSA-894058: Improper Bandwidth Limitation of Network Packets Over Local USB Port Vulnerability in SIPROTEC 5
SSA-978177: Vulnerability in Nozomi Guardian/CMC on RUGGEDCOM APE1808 Devices
SSA-994087: Multiple SQLite Vulnerabilities in RUGGEDCOM CROSSBOW Station Access Controller Before V5.7
SSA-201595: Privilege Escalation Vulnerability in WIBU CodeMeter Runtime Affecting the Desigo CC Product Family and SENTRON Powermanager
SSA-395458: Account Hijacking Vulnerability in Mendix SAML Module

参考情報

  1. ICS Advisory | ICSA-25-226-01
    Siemens SIMATIC RTLS Locating Manager
  2. ICS Advisory | ICSA-25-226-02
    Siemens COMOS
  3. ICS Advisory | ICSA-25-226-03
    Siemens Engineering Platforms
  4. ICS Advisory | ICSA-25-226-04
    Siemens Simcenter Femap
  5. ICS Advisory | ICSA-25-226-05
    Siemens Wibu CodeMeter Runtime
  6. ICS Advisory | ICSA-25-226-06
    Siemens Opcenter Quality
  7. ICS Advisory | ICSA-25-226-07
    Siemens Third-Party Components in SINEC OS
  8. ICS Advisory | ICSA-25-226-08
    Siemens RUGGEDCOM CROSSBOW Station Access Controller
  9. ICS Advisory | ICSA-25-226-09
    Siemens RUGGEDCOM APE1808
  10. ICS Advisory | ICSA-25-226-10
    Siemens SIPROTEC 5
  11. ICS Advisory | ICSA-25-226-11
    Siemens SIMATIC S7-PLCSIM
  12. ICS Advisory | ICSA-25-226-12
    Siemens SIPROTEC 4 and SIPROTEC 4 Compact
  13. ICS Advisory | ICSA-25-226-13
    Siemens SIMATIC RTLS Locating Manager
  14. ICS Advisory | ICSA-25-226-14
    Siemens RUGGEDCOM ROX II
  15. ICS Advisory | ICSA-25-226-15
    Siemens SINEC OS
  16. ICS Advisory | ICSA-25-226-16
    Siemens SICAM Q100/Q200
  17. ICS Advisory | ICSA-25-226-17
    Siemens SINEC Traffic Analyzer
  18. ICS Advisory | ICSA-25-226-18
    Siemens SIMOTION SCOUT, SIMOTION SCOUT TIA, and SINAMICS STARTER
  19. ICS Advisory | ICSA-25-226-19
    Siemens SINUMERIK
  20. ICS Advisory | ICSA-25-226-20
    Siemens RUGGEDCOM ROX II
  21. ICS Advisory | ICSA-25-226-21
    Siemens BFCClient
  22. ICS Advisory | ICSA-25-226-22
    Siemens Web Installer
  23. ICS Advisory | ICSA-25-231-01
    Siemens Desigo CC Product Family and SENTRON Powermanager
  24. ICS Advisory | ICSA-25-231-02
    Siemens Mendix SAML Module

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2025/08/15
[想定される影響]、[ベンダ情報]にSSA-201595とSSA-395458の情報を追加、[参考情報]にICS Advisoryのリンクを追加しました
2025/08/20
[参考情報]にICS Advisoryのリンクを追加しました