JVNDB-2022-002766
|
三菱電機製 GOT2000 シリーズの FTP サーバ機能における不適切な入力確認の脆弱性
|
|
三菱電機株式会社が提供する GOT2000 シリーズの FTP サーバー機能には、不適切な入力確認の脆弱性(CWE-20、CVE-2022-40266)が存在します。
|
|
CVSS v3 による深刻度
基本値: 5.3 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 高
|
|
|
三菱電機
- GOT2000 シリーズ GT23 モデル 01.39.000 およびそれ以前
- GOT2000 シリーズ GT25 モデル 01.39.000 およびそれ以前
- GOT2000 シリーズ GT27 モデル 01.39.000 およびそれ以前
|
バージョンの確認方法については、開発者が提供する次のマニュアルをご確認ください。マニュアルは三菱電機FAサイトのマニュアルダウンロードコーナーから入手できます。
* GOT2000シリーズ本体取扱説明書(ユーティリティ編) (SH-081187) 「6.9章パッケージ管理」内の「プロパティ操作」
|
|
FTPクライアントを使用してFTPサーバ(GOT)にアクセス可能な攻撃者が、細工したコマンドを送信することによって、当該製品がサービス運用妨害(DoS)状態になる可能性があります。
|
|
[アップデートする]
開発者は、アップデートを提供しています。
対策済みバージョンは次の通りで、GT Designer3 Version1(GOT2000) Ver.1.285X およびそれ以降に同梱されています。
* GOT2000 シリーズ
* GT27 モデル 01.47.000 およびそれ以降
* GT25 モデル 01.47.000 およびそれ以降
* GT23 モデル 01.47.000 およびそれ以降
[ワークアラウンドを実施する]
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用する
* LAN内で使用し、信頼できないネットワークやホストからアクセスできないようにする
* 該当製品やシステムへアクセス可能なパソコンにウイルス対策ソフトを搭載する
* 第三者に不正に当該製品にログインされないよう、強固なパスワードを設定する
* 当該製品のIPフィルタ機能(*1)を使用し、接続可能なIPアドレスを適切に制限する
(*1)IPフィルタ機能については、開発者が提供する「GT Designer3 (GOT2000)画面設計マニュアル(SH-081219) 『5.4.3章 IPフィルタを設定する』」に記載されています。
詳しくは開発者が提供する情報をご確認ください。
|
|
三菱電機
|
|
- 不適切な入力確認(CWE-20) [その他]
|
|
- CVE-2022-40266
|
|
- JVN : JVNVVU#95633416
- National Vulnerability Database (NVD) : CVE-2022-40266
- ICS-CERT ADVISORY : CSA-22-333-01
|
|
- [2022年11月28日]
掲載
- [2022年12月16日]
参考情報:ICS-CERT ADVISORY (ICSA-22-333-01) を追加
|
