JVNDB-2020-008251

複数の三菱電機製品の TCP プロトコルスタックにセッション管理不備の脆弱性

複数の三菱電機製品の TCP プロトコルスタックには、セッション管理不備の脆弱性が存在します。

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

三菱電機

• （複数の製品）

　* シーケンサ MELSEC
　* 表示器 GOT
　* インバータ FREQROL
　* ロボット MELFA
　* AC サーボ MELSERVO
　* 三菱省エネデマンド監視サーバ E-Energy
　* データ収集アナライザ MELQIC
　* テンションコントローラ
　* バス乾燥・暖房・換気システム
　* ダクト用換気扇
　* レンジフードファン
　* ロスナイセントラル換気システム
　* 太陽光発電システム カラーモニター エコガイド
　* エネルギー計測ユニット
　* ルームエアコン
　* HEMS対応アダプター、LANアダプター
　* 空調管理システム / 集中コントローラ―
　* 空調管理システム / 拡張コントローラー
　* 空調管理システム / BMアダプター

影響を受ける製品およびバージョンは多岐にわたります。詳しくは、開発者が提供する情報をご確認ください。

第三者による正規の機器へのなりすましが行われ、任意のコマンドを実行された結果、情報漏えい、情報の改ざんなどが行われる可能性があります。

[アップデートする]
アップデートが提供されている製品およびバージョンに関しては、アップデートを適用してください。

[ワークアラウンドを実施する]
開発者によると、対策バージョンがリリースされていない、またはアップデートを適用できない場合には、次の回避策を適用することで、本脆弱性の影響を軽減することが可能とのことです。詳しくは、開発者が提供する情報をご確認ください。
*当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) などを使用する
*当該製品は LAN 内での使用に限定し、信頼できなネットワークやホストからのアクセスを制限する
*該当製品へアクセス可能なパソコンにウイルス対策ソフトを搭載する

アップデートおよび回避策などの詳細については、開発者が提供する情報をご確認ください。
また、開発者は、製品を購入した三菱電機株式会社の支社や代理店に相談することも推奨しています。

三菱電機

• 三菱電機株式会社 : 当社製品のTCPプロトコルスタックにおけるなりすましの脆弱性について

1. 情報不足(CWE-noinfo) [その他]

1. CVE-2020-16226

1. JVN : JVNVU#93926439
2. National Vulnerability Database (NVD) : CVE-2020-16226
3. ICS-CERT ADVISORY : ICSA-20-245-01

• [2020年09月07日]
    掲載
• [2020年09月25日]
     影響を受けるシステム：内容を更新
• [2022年09月26日]
    影響を受けるシステム：内容を更新
    対策：内容を更新