【活用ガイド】

JVNDB-2022-001954

三菱電機製 MELSEC および MELIPC シリーズにおける不適切なリソースロックの脆弱性

概要

三菱電機株式会社が提供する MELSEC シリーズの CPU ユニットおよび MELIPC シリーズには、不適切なリソースロックの脆弱性(CWE-413、CVE-2022-24946)が存在します。

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、 JPCERT/CC が開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.5 (重要) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 高
  • 利用者の関与: 要
  • 影響の想定範囲: 変更あり
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 7.8 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 全面的
影響を受けるシステム


三菱電機
  • MELIPC シリーズ MI5122-VW ファームウェアバージョン "05" およびそれ以前
  • MELSEC iQ-R シリーズ R12CCPU-V ファームウェアバージョン "16" およびそれ以前
  • MELSEC L シリーズ L02/06/26CPU(-P)、L26CPU-(P)BT シリアル No.の上 5 桁 "24051" およびそれ以前
  • MELSEC Q シリーズ Q03UDECPU、Q04/06/10/13/20/26/50/100UDEHCPU シリアル No.の上 5 桁 "24051" およびそれ以前
  • MELSEC Q シリーズ Q03/04/06/13/26UDVCPU シリアル No.の上 5 桁 "24051" およびそれ以前
  • MELSEC Q シリーズ Q04/06/13/26UDPVCPU シリアル No.の上 5 桁 "24051" およびそれ以前

ファームウェアバージョンおよびシリアルNo.の確認方法については、開発者が提供する次のマニュアルを参照してください。
 * 「MELSEC iQ-R ユニット構成マニュアル」の「付 1 製造情報・ファームウェアバージョン」
 * 「QCPU ユーザーズマニュアル(ハードウェア設計・保守点検編)」の「付 5 シリアル No.と機能バージョンの確認方法」
 * 「MELSEC-L CPU ユニットユーザーズマニュアル(ハードウェア設計・保守点検編)」の「付 5 シリアル No.と機能バージョンの確認方法」
 * 「MELIPC MI5000 シリーズ ユーザーズマニュアル(スタートアップ編) 」の「付 17 製造情報・ファームウェアバージョン」
詳しくは、開発者が提供する情報をご確認ください。
想定される影響

遠隔の第三者によって細工されたパケットを当該製品が受信することで、当該製品の Ethernet 通信機能がサービス運用妨害(DoS)状態となる可能性があります。
なお、サービス運用妨害(DoS)状態からの復旧には製品のリセットが必要です。
対策

[アップデートする]
MELSEC iQ-R シリーズ R12CCPU-V ファームウェアバージョン "09" およびそれ以降を使用している場合:
ファームウェアを対策済みバージョンにアップデートしてください。
ファームウェアアップデートの方法は、次のマニュアルを参照してください。

 * MELSEC iQ-R ユニット構成マニュアル 「付 2 ファームウェアアップデート機能」

[ワークアラウンドを実施する]
アップデートが適用できない製品向け:
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
 * 当該製品をインターネットに接続する場合は、ファイアウォールの設置や仮想プライベートネットワーク(VPN)を使用し、不正なアクセスを制限する
 * 当該製品をLAN内で使用し、当該製品への接続を最小限に抑え、信頼できるネットワークやホストからのみアクセスできるよう制限する

[後続製品への移行を検討する]
アップデートが適用できない製品向け:
開発者によると、本脆弱性に対応した後続製品・上位バージョンをリリースしているとのことです。
対策状況や後続製品・上位バージョンへの移行⽅法等の詳細については、開発者が提供する情報を参照の上、製品を購⼊した開発者の⽀社または代理店に問い合わせてください。

詳しくは、開発者が提供する情報を確認してください。
ベンダ情報

三菱電機
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切なリソースロック(CWE-413) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2022-24946
参考情報

  1. JVN : JVNVU#90895626
  2. National Vulnerability Database (NVD) : CVE-2022-24946
  3. ICS-CERT ADVISORY : ICSA-22-172-01
更新履歴

  • [2022年06月15日]
      掲載
  • [2022年06月24日]
      参考情報:ICS-CERT ADVISORY (ICSA-22-172-01) を追加
  • [2022年08月18日]
      タイトル:内容を更新
      概要:内容を更新
      影響を受けるシステム:内容を更新
      対策:内容を更新
      ベンダ情報:掲載内容を変更
  • [2023年07月27日]
      影響を受けるシステム:内容を更新
      対策:内容を更新
      参考情報:内容を更新
  • [2024年05月31日]
      CVSS による深刻度:内容を更新
      対策:内容を更新
      参考情報:National Vulnerability Database (NVD) (CVE-2022-24946) を追加

公表日2022/06/14
登録日2022/06/15
最終更新日2024/05/31