JVNDB-2022-001954

三菱電機製 MELSEC および MELIPC シリーズにおける不適切なリソースロックの脆弱性

三菱電機株式会社が提供する MELSEC シリーズの CPU ユニットおよび MELIPC シリーズには、不適切なリソースロックの脆弱性（CWE-413、CVE-2022-24946）が存在します。

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、 JPCERT/CC が開発者との調整を行いました。

三菱電機

• MELIPC シリーズ MI5122-VW ファームウェアバージョン "05" およびそれ以前
• MELSEC iQ-R シリーズ R12CCPU-V ファームウェアバージョン "16" およびそれ以前
• MELSEC L シリーズ L02/06/26CPU(-P)、L26CPU-(P)BT シリアル No.の上 5 桁 "24051" およびそれ以前
• MELSEC Q シリーズ Q03UDECPU、Q04/06/10/13/20/26/50/100UDEHCPU シリアル No.の上 5 桁 "24051" およびそれ以前
• MELSEC Q シリーズ Q03/04/06/13/26UDVCPU シリアル No.の上 5 桁 "24051" およびそれ以前
• MELSEC Q シリーズ Q04/06/13/26UDPVCPU シリアル No.の上 5 桁 "24051" およびそれ以前

ファームウェアバージョンおよびシリアルNo.の確認方法については、開発者が提供する次のマニュアルを参照してください。
　* 「MELSEC iQ-R ユニット構成マニュアル」の「付 1 製造情報・ファームウェアバージョン」
　* 「QCPU ユーザーズマニュアル(ハードウェア設計・保守点検編)」の「付 5 シリアル No.と機能バージョンの確認方法」
　* 「MELSEC-L CPU ユニットユーザーズマニュアル(ハードウェア設計・保守点検編)」の「付 5 シリアル No.と機能バージョンの確認方法」
　* 「MELIPC MI5000 シリーズ ユーザーズマニュアル(スタートアップ編) 」の「付 17 製造情報・ファームウェアバージョン」
詳しくは、開発者が提供する情報をご確認ください。

遠隔の第三者によって細工されたパケットを当該製品が受信することで、当該製品の Ethernet 通信機能がサービス運用妨害（DoS）状態となる可能性があります。
なお、サービス運用妨害（DoS）状態からの復旧には製品のリセットが必要です。

[アップデートする]
開発者が提供する情報をもとに、アップデートしてください。

• MELSEC
  
  
  
  • iQ-Rシリーズ
    
    
    
    • R12CCPU-V
      
      
      
      • ファームウェアバージョン”17”およびそれ以降
      
      
      
      
    
    
    
    
  
  
  • Qシリーズ
    
    
    
    • Q03UDECPU、Q04/06/10/13/20/26/50/100UDEHCPU
      
      
      
      • シリアルNo.の上5桁”24062”およびそれ以降
      
      
      
      
    
    
    • Q03/04/06/13/26UDVCPU
      
      
      
      • シリアルNo.の上5桁”24052”およびそれ以降
      
      
      
      
    
    
    • Q04/06/13/26UDPVCPU
      
      
      
      • シリアルNo.の上5桁”24052”およびそれ以降
      
      
      
      
    
    
    
    • Q12DCCPU-V、Q24DHCCPU-V(G)、Q24/26DHCCPU-LS
      
      
      
      • シリアルNo.の上5桁”24052”およびそれ以降
      
      
      
      
    
    
    
    
  
  
  • Lシリーズ
    
    
    
    • L02/06/26CPU(-P)、L26CPU-(P)BT
      
      
      
      • シリアルNo.の上5桁”24052”およびそれ以降
      
      
      
      
    
    
    
    
  
  
  
  


• MELIPCシリーズ
  
  
  
  • MI5122-VW
    
    
    
    • ファームウェアバージョン”06”およびそれ以降
    
    
    
    
  
  
  
  

[ワークアラウンドを実施する]
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
　* 当該製品をインターネットに接続する場合は、ファイアウォールの設置や仮想プライベートネットワーク（VPN）を使用し、不正なアクセスを制限する
　* 当該製品をLAN内で使用し、当該製品への接続を最小限に抑え、信頼できるネットワークやホストからのみアクセスできるよう制限する

詳しくは、開発者が提供する情報をご確認ください。

三菱電機

• 三菱電機 : MELSEC および MELIPC シリーズの Ethernet ポートにおけるサービス拒否(DoS)の脆弱性

1. 不適切なリソースロック(CWE-413) [その他]

1. CVE-2022-24946

1. JVN : JVNVU#90895626
2. ICS-CERT ADVISORY : ICSA-22-172-01

• [2022年06月15日]
    掲載
• [2022年06月24日]
    参考情報：ICS-CERT ADVISORY (ICSA-22-172-01) を追加
• [2022年08月18日]
    タイトル：内容を更新
    概要：内容を更新
    影響を受けるシステム：内容を更新
    対策：内容を更新
    ベンダ情報：掲載内容を変更
• [2023年07月27日]
    影響を受けるシステム：内容を更新
    対策：内容を更新
    参考情報：内容を更新