JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は4月15日、「JVNVU#96269392: Siemens 製品に対するアップデート (2021年4月)」において、シーメンスの複数製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、さまざまなサイバー攻撃を実施される危険性があるとされている。
脆弱性に関する情報は次のページにまとまっている。
- SSA-163226_V1.0
- SSA-185699_V1.0
- SSA-187092_V1.0
- SSA-201384_V1.0
- SSA-248289_V1.0
- SSA-292794_V1.0
- SSA-497656_V1.0
- SSA-574442_V1.0
- SSA-669158_V1.0
- SSA-705111_V1.0
- SSA-761844_V1.0
- SSA-853866_V1.0
- SSA-875726_V1.0
- SSA-983300_V1.0
対象の脆弱性を悪用して行われるおそれがある攻撃としては。攻撃者によるコード実行、クロスサイトスクリプティング、不十分な操作ログ記録、DNSキャッシュポイズニング、サービス妨害攻撃(DoS: Denial of Service attack)、認証の回避、通信内容の傍受、なりすまし、タイムスタンプ偽造、機密情報の窃取、ファイルの読み取りと削除、システム侵害、特権昇格などが挙げられている。
影響を受けるプロダクトが多岐にわたることから注意が必要。JPCERTコーディネーションセンター(JPCERT/CC)は必要に応じてアップデートを適用することを推奨している。