JVNDB-2021-002264
|
三菱電機製 MELSEC iQ-R シリーズ CPU ユニットにおける複数の脆弱性
|
|
三菱電機株式会社が提供する MELSEC iQ-R シリーズ CPU ユニットには、次の複数の脆弱性が存在します。
*情報漏えい (CWE-200) - CVE-2021-20594
*不十分な認証情報の保護 (CWE-522) - CVE-2021-20597
*アカウントロックアウト機構の過度な制限 (CWE-645) - CVE-2021-20598
*重要な情報の平文での送信の脆弱性 (CWE-319) - CVE-2021-20599
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 9.1 (緊急) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): なし
※上記は、CVE-2021-20599 の評価になります。
|
CVSS v3 による深刻度
基本値:5.9 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2021-20594 の評価になります。
|
CVSS v3 による深刻度
基本値:7.4 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): なし
※上記は、CVE-2021-20597 の評価になります。
|
CVSS v3 による深刻度
基本値:3.7 (注意) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 低
※上記は、CVE-2021-20598 の評価になります。
|
|
|
三菱電機
- MELSEC iQ-R シリーズ 安全 CPU R08/16/32/120SFCPU ファームウェアバージョン "26" およびそれ以前 (CVE-2021-20594、CVE-2021-20597、CVE-2021-20599)
- MELSEC iQ-R シリーズ SIL2 プロセス CPU R08/16/32/120PSFCPU ファームウェアバージョン "11" およびそれ以前 (CVE-2021-20594、CVE-2021-20597、CVE-2021-20599)
- MELSEC iQ-R シリーズ 安全 CPU R08/16/32/120SFCPU 全バージョン (CVE-2021-20598)
- MELSEC iQ-R シリーズ SIL2 プロセス CPU R08/16/32/120PSFCPU 全バージョン (CVE-2021-20598)
|
ファームウェアバージョンの確認方法は、以下のマニュアル (*1) を参照ください。
マニュアルはダウンロード | 三菱電機FAよりダウンロードが可能です。
(*1)MELSEC iQ-R ユニット構成マニュアル「付 1 製造情報・ファームウェアバージョン」
詳しくは、開発者が提供する情報を確認してください。
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* 遠隔の第三者によって CPU ユニット内に格納される正規ユーザ名が窃取される - CVE-2021-20594
開発者によると、CPU ユニットへのログインにはパスワードも必要なため、ユーザ名を窃取されただけでは CPU ユニットへのログインはできないとのことです。
* 正規ユーザによる CPU ユニットへのユーザ情報登録時もしくはパスワード変更時に、遠隔の第三者によってその通信が傍受され認証情報を窃取される。その結果、窃取した認証情報を使い CPU ユニットに不正にログインされる - CVE-2021-20597
* 遠隔の第三者によって正規ユーザの誤ったパスワードを連続して入力されると、アカウントロック機能によって、正規ユーザが当該製品にログインできなくなる - CVE-2021-20598
* 遠隔の第三者が正規ユーザのパスワード以外の認証情報を取得しそれを使用することで、CPU ユニットへ不正にログインする - CVE-2021-20599
|
|
[ワークアラウンドを実施する]
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用する
* 当該製品を LAN 内で使用し、信頼できないネットワークやホストからのアクセスをファイアウォールでブロックする
* IP フィルタ機能 (*2) を使用し、接続可能な IP アドレスを適切に制限する
* ユーザ情報の登録やパスワード変更をする際は、USB 経由で実施する。ネットワーク経由で既にユーザ登録やパスワード変更を行った場合は、改めて USB 経由でパスワードを再変更する (*3)
(*2) IP フィルタ機能に関する詳細は、開発者が提供する「MELSEC iQ-R Ethernet ユーザーズマニュアル (応用編) セキュリティの「IP フィルタ」」を参照してください。
(*3) この回避策は、CVE-2021-20597 の脆弱性に対してのみ有効なものです。
[後続製品への移行を検討する]
開発者によると、本脆弱性に対応した後続製品・上位バージョンをリリースしているとのことです。
対策状況や後続製品・上位バージョンへの移行方法等の詳細については、開発者が提供する情報を参照の上、製品を購入した開発者の支社または代理店に問い合わせてください。
詳しくは開発者が提供する情報を確認してください。
|
|
三菱電機
|
|
- 情報漏えい(CWE-200) [その他]
- 認証情報の不十分な保護(CWE-522) [その他]
- 過度に制限されたアカウントロックアウトメカニズム(CWE-645) [その他]
- 重要な情報の平文での送信(CWE-319) [その他]
|
|
- CVE-2021-20594
- CVE-2021-20597
- CVE-2021-20598
- CVE-2021-20599
|
|
- JVN : JVNVU#98578731
- National Vulnerability Database (NVD) : CVE-2021-20594
- National Vulnerability Database (NVD) : CVE-2021-20597
- National Vulnerability Database (NVD) : CVE-2021-20598
- National Vulnerability Database (NVD) : CVE-2021-20599
- ICS-CERT ADVISORY : ICSA-21-250-01
- ICS-CERT ADVISORY : ICSA-21-287-03
|
|
- [2021年08月06日]
掲載
- [2021年10月13日]
概要:内容を更新
CVSS による深刻度:内容を更新
影響を受けるシステム:内容を更新
想定される影響:内容を更新
対策:内容を更新
ベンダ情報:三菱電機株式会社 (MELSEC iQ-R シリーズ安全CPU/SIL2 プロセスCPU ユニットにおける認証回避の脆弱性) を追加
共通脆弱性識別子(CVE):CVE-2021-20599 を追加
CWE による脆弱性タイプ一覧:CWE-639 を追加
参考情報:National Vulnerability Database (NVD) (CVE-2021-20594) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2021-20597) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2021-20598) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2021-20599) を追加
- [2021年10月18日]
参考情報:ICS Advisory (ICSA-21-250-01) を追加
参考情報:ICS Advisory (ICSA-21-287-03) を追加
- [2022年10月14日]
概要:内容を更新
影響を受けるシステム:内容を更新
対策:内容を更新
- [2024年05月17日]
影響を受けるシステム:内容を更新
対策:内容を更新
|
