【活用ガイド】

JVNDB-2022-001954

三菱電機製 MELSEC および MELIPC シリーズにおける不適切なリソースロックの脆弱性

概要

三菱電機株式会社が提供する MELSEC シリーズの CPU ユニットおよび MELIPC シリーズには、不適切なリソースロックの脆弱性(CWE-413、CVE-2022-24946)が存在します。

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.5 (重要) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 高
  • 利用者の関与: 要
  • 影響の想定範囲: 変更あり
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
影響を受けるシステム


三菱電機
  • MELIPC シリーズ MI5122-VW ファームウェアバージョン "05" およびそれ以前
  • MELSEC iQ-R シリーズ R12CCPU-V ファームウェアバージョン "16" およびそれ以降
  • MELSEC L シリーズ L02/06/26CPU(-P)、L26CPU-(P)BT シリアル No.の上 5 桁 "24051" およびそれ以前
  • MELSEC Q シリーズ Q03UDECPU、Q04/06/10/13/20/26/50/100UDEHCPU 全バージョン
  • MELSEC Q シリーズ Q03/04/06/13/26UDVCPU シリアル No.の上 5 桁 "24051" およびそれ以前
  • MELSEC Q シリーズ Q04/06/13/26UDPVCPU シリアル No.の上 5 桁 "24051" およびそれ以前

ファームウェアバージョンおよびシリアルNo.の確認方法については、開発者が提供する次のマニュアルを参照してください。
 * 「MELSEC iQ-R ユニット構成マニュアル」の「付 1 製造情報・ファームウェアバージョン」
 * 「QCPU ユーザーズマニュアル(ハードウェア設計・保守点検編)」の「付 5 シリアル No.と機能バージョンの確認方法」
 * 「MELSEC-L CPU ユニットユーザーズマニュアル(ハードウェア設計・保守点検編)」の「付 5 シリアル No.と機能バージョンの確認方法」
 * 「MELIPC MI5000 シリーズ ユーザーズマニュアル(スタートアップ編) 」の「付 17 製造情報・ファームウェアバージョン」
詳しくは、開発者が提供する情報をご確認ください。
想定される影響

遠隔の第三者によって細工されたパケットを当該製品が受信することで、当該製品の Ethernet 通信機能がサービス運用妨害(DoS)状態となる可能性があります。
なお、サービス運用妨害(DoS)状態からの復旧には製品のリセットが必要です。
対策

[アップデートする]
開発者によると、次に示す製品については対策が提供されており、それ以外の製品については、近日中に対応予定とのことです。

  • MELSEC

    • iQ-Rシリーズ

      • R12CCPU-V

        • ファームウェアバージョン”17”およびそれ以降





    • Qシリーズ

      • Q03UDECPU、Q04/06/10/13/20/26/50/100UDEHCPU

        • シリアルNo.の上5桁”24062”およびそれ以降



      • Q03/04/06/13/26UDVCPU

        • シリアルNo.の上5桁”24052”およびそれ以降



      • Q04/06/13/26UDPVCPU

        • シリアルNo.の上5桁”24052”およびそれ以降





    • Lシリーズ

      • L02/06/26CPU(-P)、L26CPU-(P)BT

        • シリアルNo.の上5桁”24052”およびそれ以降







  • MELIPCシリーズ

    • MI5122-VW

      • ファームウェアバージョン”06”およびそれ以降







[ワークアラウンドを実施する]
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
 * 当該製品をインターネットに接続する場合は、ファイアウォールの設置や仮想プライベートネットワーク(VPN)を使用し、不正なアクセスを制限する
 * 当該製品をLAN内で使用し、当該製品への接続を最小限に抑え、信頼できるネットワークやホストからのみアクセスできるよう制限する

詳しくは、開発者が提供する情報をご確認ください。
ベンダ情報

三菱電機
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切なリソースロック(CWE-413) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2022-24946
参考情報

  1. JVN : JVNVU#90895626
  2. ICS-CERT ADVISORY : ICSA-22-172-01
更新履歴

  • [2022年06月15日]
      掲載
  • [2022年06月24日]
      参考情報:ICS-CERT ADVISORY (ICSA-22-172-01) を追加
  • [2022年08月18日]
      タイトル:内容を更新
      概要:内容を更新
      影響を受けるシステム:内容を更新
      対策:内容を更新
      ベンダ情報:掲載内容を変更

公表日2022/06/14
登録日2022/06/15
最終更新日2022/08/18