概要
Siemens TIA Portal は PLC(Programmable Logic Controller)の プログラミング や 設定 に 使用 される 産業用 オートメーション の 統合 開発 環境 です。PLC トレース ファイル の インポート 処理 に おいて、ファイル 内容 が 適切 に サニタイズ されない 脆弱性 が 存在 します。
CWE-95(eval インジェクション)に 分類 される この 問題 に より、攻撃者 が 細工 した PLC トレース ファイル を ソーシャル エンジニアリング に よって ユーザー に インポート させる こと で、TIA Portal 上 で 任意 の コード を 実行 し、PLC の 操作 を 行う こと が 可能 です。
ICS / OT(産業用 制御 システム / 運用 技術)環境 で の 悪用 は、物理的 な プロセス の 操作 や 安全 システム の 無効化 に つながる 可能性 が あり、非常 に 深刻 です。TIA Portal を 使用 して いる 環境 で は、Siemens CERT Advisory を 確認 し、推奨 される 対策 を 速やか に 実施 して ください。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.6 |
| 深刻度 | Critical |
| CWE | CWE-95 (evalインジェクション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| TIA Portal | Siemens | Siemens CERT Advisory SSA-452276 を参照 |
修正バージョンと回避策
- 修正: Siemens CERT Advisory SSA-452276 に 記載 の アップデート を 適用 する
- 暫定回避策: 信頼 できない ソース から の PLC トレース ファイル を インポート しない。ネットワーク セグメンテーション に より TIA Portal 端末 を 分離 する。ICS-CERT の 推奨 に 従い、Defense-in-Depth 戦略 を 実施 する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。