【活用ガイド】

JVNDB-2022-001949

三菱電機製 MELSEC-Q/L シリーズおよび MELSEC iQ-R シリーズにおける不適切な入力値確認の脆弱性

概要

三菱電機株式会社が提供する MELSEC-Q/ Lシリーズの Ethernet インタフェースユニットの Web 機能および MELSEC iQ-R シリーズ MES インタフェースユニットの REST サーバ機能には、不適切な入力値確認の脆弱性(CWE-20、CVE-2022-25163)が存在します。

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 8.1 (重要) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


三菱電機
  • MELSEC iQ-R シリーズ RD81MES96N ファームウェア REST サーバ機能 ファームウェアバージョン ”08” およびそれ以前
  • MELSEC L シリーズ LJ71E71-100 ファームウェア Web 機能シリアル No. の上 5 桁 ”24061” およびそれ以前
  • MELSEC Q シリーズ QJ71E71-100 ファームウェア Web 機能シリアル No. の上 5 桁 ”24061” およびそれ以前

シリアル No. およびファームウェアバージョンの確認方法については、開発者が提供する次のマニュアルをご確認ください。
 * QJ71E71-100: Q 対応 Ethernet インタフェースユニットユーザーズマニュアル(基本編)の「付11 シリアル No. と機能バージョンの確認方法」
 * LJ71E71-100: MELSEC-L Ethernet インタフェースユニットユーザーズマニュアル(基本編)の「付10 シリアル No.,機能バージョン,MAC アドレスの確認」
 * RD81MES96N: MELSEC iQ-R ユニット構成マニュアルの「付1 製造情報・ファームウェアバージョン」
想定される影響

遠隔の第三者によって細工されたパケットを該当製品が受信することで、当該製品がサービス運用妨害(DoS)状態となったり、悪意のあるプログラムが実行されたりする可能性があります。
なお、復旧にはシステムのリセットが必要です。
対策

[アップデートする]
対策済みバージョンは次の通りです。
アップデート方法等の詳細については、開発者が提供する情報を参照の上、製品を購入した開発者の支社または代理店にお問合せください。


  • MELSEC-Q シリーズ

    • QJ71E71-100

      • シリアル No. の上 5 桁 "24062" およびそれ以降





  • MELSEC-L シリーズ

    • LJ71E71-100

      • シリアル No. の上 5 桁 "24062" およびそれ以降





  • MELSEC iQ-R シリーズ

    • RD81MES96N

      • ファームウェアバージョン "09" およびそれ以降







[ワークアラウンドを実施する]
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
 * 当該製品を含むシステムをインターネットに接続する場合には、ファイアウォールやWebアプリケーションファイアウォール(WAF)、仮想プライベートネットワーク(VPN)等を使用し、システムへの不正アクセスを防止する
 * 当該製品をルータやファイアウォールで適切に区分された信頼できる LAN 内で使用する
詳しくは、開発者が提供する情報をご確認ください。
ベンダ情報

三菱電機
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な入力確認(CWE-20) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2022-25163
参考情報

  1. JVN : JVNVU#92561747
  2. National Vulnerability Database (NVD) : CVE-2022-25163
  3. ICS-CERT ADVISORY : ICSA-22-165-03
更新履歴

  • [2022年06月03日]
      掲載
  • [2022年06月17日]
      参考情報:ICS-CERT ADVISORY (ICSA-22-165-03) を追加
  • [2024年06月18日]
      CVSS による深刻度:内容を更新
      参考情報:National Vulnerability Database (NVD) (CVE-2022-25163) を追加

公表日2022/06/02
登録日2022/06/03
最終更新日2024/06/18