セキュリティ

SECURITY

公開：2024-11-15

【CVE-2024-50558】SiemensのSCALANCEとRUGGEDCOM V8.2未満に脆弱性、アクセス制御の不備でサービス拒否の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• SiemensのSCALANCEとRUGGEDCOMシリーズに脆弱性
• 読み取り専用ユーザーのアクセス制御に問題
• 一時的なサービス拒否状態を引き起こす可能性

SiemensのSCALANCEとRUGGEDCOM V8.2未満の脆弱性

Siemensは2024年11月12日、SCALANCEシリーズとRUGGEDCOMシリーズのV8.2未満のバージョンに脆弱性が存在することを発表した。CVE-2024-50558として識別されたこの脆弱性は、読み取り専用ユーザーに対するアクセス制御が適切に管理されておらず、攻撃者による一時的なサービス拒否状態を引き起こす可能性があることが判明している。^[1]

この脆弱性はCVSS v3.1で基本スコア4.3（MEDIUM）、CVSS v4.0で基本スコア5.3（MEDIUM）と評価されており、ネットワークからのアクセスが可能で攻撃の複雑さは低いとされている。攻撃には特権レベルが必要であるが、ユーザーの操作は不要とされ、機密性と整合性への影響はないものの可用性への影響が指摘されている。

影響を受ける製品には、RUGGEDCOM RM1224 LTE(4G)シリーズやSCALANCE Mシリーズ、SCALANCE MUMシリーズ、SCALANCE S615シリーズなど、産業用ネットワーク機器の広範な製品群が含まれている。対象となる製品のバージョンはすべてV8.2未満であり、各製品の具体的なモデル番号も特定されている。

SiemensのSCALANCEとRUGGEDCOMの脆弱性まとめ

Siemensのセキュリティアドバイザリの詳細はこちら

アクセス制御について

アクセス制御とは、システムやリソースへのアクセスを制限・管理する仕組みのことを指す。主な特徴として以下のような点が挙げられる。

• ユーザーの認証と権限の検証を行う
• システムやデータの不正アクセスを防止する
• セキュリティポリシーに基づいた制御を実現する

今回の脆弱性では読み取り専用ユーザーに対するアクセス制御が適切に実装されていないことが問題となっている。SiemensのSCALANCEとRUGGEDCOMシリーズにおいて、この不適切なアクセス制御により攻撃者が一時的なサービス拒否状態を引き起こす可能性があることが確認されており、製品の安定性と可用性に影響を与える可能性がある。

SiemensのSCALANCEとRUGGEDCOMの脆弱性に関する考察

産業用ネットワーク機器における読み取り専用ユーザーの権限管理の重要性が改めて浮き彫りになった形となっている。SiemensがV8.2でこの問題に対処したことは評価できるが、多くの既存システムではアップデートの適用に慎重な判断が必要となるため、脆弱性が長期間残存する可能性が懸念される。

今後は産業用機器における権限管理の在り方について、より厳密な設計指針が求められるだろう。特に読み取り専用アカウントは必要最小限の権限に制限することが重要であり、アクセス制御機能の実装段階での徹底的なセキュリティテストの必要性が高まっている。

中長期的には、産業用ネットワーク機器のセキュリティ設計において、ゼロトラストの考え方を取り入れることも検討に値する。すべてのユーザーアクセスを潜在的なリスクとして扱い、より細かな粒度での権限制御を実装することで、同様の脆弱性の発生を未然に防ぐことが期待される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-50558, (参照 24-11-15).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧