Siemens LOGO! V8.3 BM Electromagnetic Fault Injection Vulnerability (CVE-2022-42784) Advisory

重要情報 脆弱性記述 脆弱性番号: SSA-844582 影響対象製品: LOGO! V8.3 BM (SIPLUS 変体を含む) 脆弱性の種類: 電磁妨害注入 (Electromagnetic Fault Injection) 影響: 攻撃者は電磁妨害注入を利用してファームウェアの読み出しやデバッグ、さらにはメモリ改変を行うことができる。追加の攻撃ステップを通じて、製品 CA (Certification Authority) によって署名された公開鍵の注入が可能になる場合があります。 影響範囲 影響対象製品バージョン: LOGO! V8.3 BM 影響対象製品: SIPLUS LOGO! V8.3 BM 解決策 現在の解決策: リカバリの予定はありません 推奨対応策: 「ワークアラウンドおよび緩和策」セクションの推奨事項を参照してください。 ワークアラウンドおよび緩和策 推奨対応策: - HTTPS 通信は、未知のネットワークデバイスが含まれていない信頼されたネットワーク内でのみ使用してください。 - 可能であれば、ベースモジュールを LOGO! Soft Comfort および Web ブラウザに直接接続してください。 一般的なセキュリティの推奨事項 推奨対応策: - HTTPS 通信は、未知のネットワークデバイスが含まれていない信頼されたネットワーク内でのみ使用してください。 - 可能であれば、ベースモジュールを LOGO! Soft Comfort および Web ブラウザに直接接続してください。 製品記述 製品: LOGO! V8.3 BM (SIPLUS 変体を含む) 製品バージョン: V8.3 BM 脆弱性 CVE-2022-42784 記述: 対象デバイスに対する電磁妨害注入の影響。これにより、攻撃者はメモリ改変を含むファームウェアの読み出しやデバッグが可能になる可能性があります。追加の攻撃ステップを通じて、製品 CA によって署名された公開鍵の注入が可能になる場合があります。 CVSS スコア: 7.6 ベクター: CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C CWE: CWE-1319: 電磁妨害注入 (EM-FI) に対する不十分な保護 謝辞 感謝: - Sebastien Leger 氏により本脆弱性が報告されました。 補足情報 新ハードウェアバージョンの公開: - LOGO! 12/24RCE (6ED1052-1MD08-0BA2) - LOGO! 12/24RCEo (6ED1052-2MD08-0BA2) - LOGO! 24CE (6ED1052-1CC08-0BA2) - LOGO! 24CEo (6ED1052-2CC08-0BA2) - LOGO! 24RCE (6ED1052-1HB08-0BA2) - LOGO! 24RCEo (6ED1052-2HB08-0BA2) - LOGO! 230RCE (6ED1052-1FB08-0BA2) - LOGO! 230RCEo (6ED1052-2FB08-0BA2) - SIPLUS LOGO! 24CE (6AG1052-1CC08-7BA2) - SIPLUS LOGO! 230RCE (6AG1052-1FB08-7BA2) 履歴データ バージョン: V1.0 (2023-12-12) 更新: SIPLUS LOGO! の新ハードウェアバージョンに関する情報を追加しました。 利用規約 利用規約: Siemens Security Advisory は、Siemens のライセンス条項、または Siemens と以前に合意したその他の適用可能な契約に縛られます。該当する場合、Siemens Security Advisory の利用規約 (https://www.siemens.com/terms_of_use) が適用されます。競合が生じた場合は、ライセンス条項が利用規約より優先されます。

目標達成 すべての支援者に感謝 — 100%達成しました！

Siemens LOGO! V8.3 BM Electromagnetic Fault Injection Vulnerability (CVE-2022-42784) Advisory

目標達成すべての支援者に感謝 — 100%達成しました！