【CVE-2024-50572】Siemensの産業用ネットワーク機器に深刻な脆弱性、管理者権限での不正コード実行の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
Siemensの産業用ネットワーク機器の脆弱性
影響を受けるSiemens製品まとめ
インジェクションについて
Siemens製品の脆弱性に関する考察
参考サイト

記事の要約

Siemens製品に認証済み管理者による脆弱性を確認
RUGGEDCOM RM1224やSCALANCEシリーズが対象
V8.2未満のバージョンでコード実行の可能性

Siemensの産業用ネットワーク機器の脆弱性

SiemensはRUGGEDCOM RM1224やSCALANCEシリーズなど複数の産業用ネットワーク機器においてV8.2未満のバージョンに影響する脆弱性を2024年11月12日に公開した。この脆弱性は入力フィールドの不適切なサニタイズ処理に起因しており、認証済みの管理者権限を持つリモート攻撃者がコード実行やシステムルートシェルを取得できる可能性が指摘されている。^[1]

本脆弱性はCVE-2024-50572として識別されており、CWEによる脆弱性タイプはインジェクション（CWE-74）に分類されている。NVDの評価によると攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされているが、攻撃に必要な特権レベルは高く設定されている。

影響を受ける製品には、EU向けおよびNAM向けのLTE(4G)ルーター、ADSLルーター、SHDSLルーター、3G/4Gルーター、5Gルーターなど幅広い通信機器が含まれており、産業用ネットワークインフラストラクチャへの潜在的な影響が懸念される。影響を軽減するためには、該当する機器のファームウェアをV8.2以降にアップデートすることが推奨されている。

影響を受けるSiemens製品まとめ

項目	詳細
脆弱性識別子	CVE-2024-50572
影響を受けるバージョン	V8.2未満の全バージョン
CVSS v3.1スコア	7.2（High）
CVSS v4.0スコア	8.6（High）
脆弱性の種類	CWE-74（インジェクション）
対象製品例	RUGGEDCOM RM1224、SCALANCE Mシリーズ

脆弱性の詳細はこちら

インジェクションについて

インジェクションとは、信頼できないデータをコマンドやクエリの一部として送信することで、プログラムの意図しない動作を引き起こす攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

入力値の不適切な検証による予期しないコード実行
データベースやシステムコマンドへの不正なアクセス
特権昇格やシステム制御の奪取の可能性

今回のSiemens製品における脆弱性では、管理者権限を持つ攻撃者が特定の入力フィールドを通じてコードを注入し、システムのルートシェルを取得できる可能性が報告されている。インジェクション攻撃は適切な入力値の検証とサニタイズ処理によって防ぐことが可能であり、開発者は入力値の厳密な検証とエスケープ処理を実装する必要がある。

Siemens製品の脆弱性に関する考察

産業用ネットワーク機器における認証済み管理者による脆弱性は、内部攻撃のリスクを浮き彫りにする重要な問題として注目に値する。特に認証済み管理者による攻撃が可能という点は、アクセス権限の細分化や多要素認証の導入など、より強固なアクセス制御の必要性を示唆している。また、産業用制御システムにおける入力値の検証の重要性も改めて認識されるだろう。

今後は同様の脆弱性を防ぐため、開発段階でのセキュリティテストの強化や、運用段階での定期的なセキュリティ監査が重要となってくる。特に産業用機器は長期運用が前提となるため、脆弱性が発見された際の迅速なアップデート体制の整備や、レガシーシステムの保守体制の確立が必要不可欠である。セキュリティパッチの適用プロセスの標準化も検討すべき課題だろう。

また、産業用ネットワーク機器のセキュリティ強化には、ベンダーと利用者の緊密な連携が不可欠となる。今回のような脆弱性情報の迅速な公開と対応版のリリースは評価できるが、さらなる改善として、脆弱性の早期発見のためのバグバウンティプログラムの導入や、セキュリティ研究者との協力体制の構築も検討に値するだろう。