|
[English]
|
JVNDB-2020-002958
|
三菱電機製 MELSEC シリーズの MELSOFT 交信ポートにおけるリソース枯渇の脆弱性
|
|
三菱電機株式会社が提供する MELSEC iQ-R,iQ-F,Q,L,F シリーズの MELSOFT 交信ポート (UDP/IP) には、リソース枯渇の脆弱性 (CWE-400) が存在します。MELSOFT 交信ポートに大量のデータを送信すると、リソースが枯渇することにより当該ポートにおいて処理が行われなくなり、サービス運用妨害 (DoS) 状態となる場合があります。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 5.3 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 低
CVSS v2 による深刻度
基本値: 5.0 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 部分的
|
|
|
三菱電機
- MELSEC F シリーズ
- MELSEC iQ-F シリーズ
- MELSEC iQ-R シリーズ
- MELSEC L シリーズ
- MELSEC Q シリーズ
|
|
|
MELSOFT 交信ポートが処理不能状態に陥った場合、正常なクライアントが MELSOFT 通信ポートに接続できなくなります。また、他の通信ポートで通信している機器が繋がりにくくなります。
なお開発者によると、本脆弱性により Ethernet 通信以外の機能が影響を受けることはないとのことです。
|
|
[ワークアラウンドを実施する]
開発者によると、本脆弱性はシーケンス制御への影響がなく、サービス運用妨害 (DoS) 状態が終了すれば通信は正常状態となるため、アップデートやパッチの提供は行わないとのことです。
ただし、次の回避策のいずれか、または組み合わせを適用することで、本脆弱性の影響を軽減できます。
* ファイアウォールを設置し、ネットワーク経由の外部機器からのアクセスを制限する
* IP フィルタ機能を使用し、接続可能な IP アドレスを制限する
詳しくは、開発者が提供する情報をご確認ください。
|
|
三菱電機
|
|
- リソースの枯渇(CWE-400) [NVD評価]
|
|
- CVE-2020-5527
|
|
- JVN : JVNVU#91553662
- National Vulnerability Database (NVD) : CVE-2020-5527
- ICS-CERT ADVISORY : ICSA-20-091-02
|
|
- [2020年03月31日]
掲載
- [2020年04月01日]
参考情報:ICS-CERT ADVISORY (ICSA-20-091-02) を追加
|
