JVNDB-2021-002009
|
三菱電機製 GOT の MODBUS/TCP スレーブ通信機能における共有リソースへのアクセス同期不備の脆弱性
|
|
三菱電機製 GOT2000 シリーズおよび GT SoftGOT2000 の MODBUS/TCP スレーブ通信機能には、次の条件で通信を使用している場合、共有リソースへのアクセス同期不備 (CWE-820) に起因するサービス運用妨害 (DoS) の脆弱性 (CVE-2021-20592) が存在します。
* GOT2000シリーズで「MODBUS/TCP スレーブ,ゲートウェイ」通信ドライバを使用している場合
* GT SoftGOT2000 で接続設定の機種に「MODBUS/TCP Slave」を選択して使用している場合
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 5.9 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 高
|
|
|
三菱電機
- GOT2000 シリーズ GT23 モデル 通信ドライババージョン 01.19.000 から 01.39.010 まで
- GOT2000 シリーズ GT25 モデル 通信ドライババージョン 01.19.000 から 01.39.010 まで
- GOT2000 シリーズ GT27 モデル 通信ドライババージョン 01.19.000 から 01.39.010 まで
- GT SoftGOT2000 ソフトウェアバージョン 1.170C から 1.256S まで
|
詳しくは、開発者が提供する情報をご確認ください。
|
|
遠隔の第三者によって GOT の MODBUS/TCP 通信用ポートに対して接続、通信、切断を高速に繰り返し実行された場合、当該機器の通信機能が停止する可能性があります。
なお、当該製品の通信機能が停止した場合、次の手順で復旧することが可能です。
* GOT2000 シリーズ
* 電源再投入またはリセットスイッチを押下する
* GT SoftGOT2000
* ソフトウェアが強制終了するため再度起動する
|
|
[アップデートする]
開発者が提供する情報をもとに、各製品に対応したアップデートを適用してください。
* GOT2000シリーズで「MODBUS/TCPスレーブ,ゲートウェイ」通信ドライバを使用している場合
* GT27 モデル 通信ドライババージョン 01.40.000 およびそれ以降
* GT25 モデル 通信ドライババージョン 01.40.000 およびそれ以降
* GT23 モデル 通信ドライババージョン 01.40.000 およびそれ以降
* GT SoftGOT2000 で接続設定の機種に「MODBUS/TCP Slave」を選択し使用している場合
* ソフトウェアバージョン 1.260W およびそれ以降
アップデート手順等の詳細につきましては、開発者が提供する情報をご確認ください。
[ワークアラウンドを実施する]
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用する
* LAN 内で使用し、信頼できないネットワークやホストからアクセスできないようにする
* 該当製品へアクセス可能なパソコンにウイルス対策ソフトを搭載する
|
|
三菱電機
|
|
- 同期の欠如(CWE-820) [その他]
|
|
- CVE-2021-20592
|
|
- JVN : JVNVU#92414172
- ICS-CERT ADVISORY : ICSA-21-208-02
|
|
|
