JVNDB-2023-002790
|
三菱電機製 GT Designer3、GOT2000 シリーズ、GOT SIMPLE シリーズおよび GT SoftGOT2000 における不十分なパスワード保護の脆弱性
|
|
三菱電機株式会社が提供する GT Designer3、GOT2000 シリーズ、GOT SIMPLE シリーズおよび GT SoftGOT2000 のデータ転送セキュリティ機能では、通信パケット中に含まれるパスワードを保護するために一定の符号化を行っています。しかし、この符号化処理は元データを容易に復元可能です (CWE-261、CVE-2023-0525)。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
三菱電機
- GT Designer3 Version1 (GOT2000) (ソフトウェア製品)
- GOT SIMPLE (ハードウェア製品)
- GOT2000 (ハードウェア製品)
- GT SoftGOT2000 (ソフトウェア製品)
|
影響を受ける製品、モデルおよびバージョンの詳細、およびその確認方法等詳細については、開発者が提供する情報を確認してください。
|
|
通信パケットを盗聴された場合、符号化されたデータから元のパスワードを窃取される可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとにファームウェアをアップデートしてください。
ファームウェアの入手方法およびアップデート方法は製品により異なります。詳しくは、開発者が提供する情報を確認してください。
[ワークアラウンドを実施する]
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用し、不正アクセスを防止する
* 当該製品を LAN 内で使用し、信頼できないネットワークやホストからアクセスできないようにする
* 当該製品が接続されたネットワークへの物理的なアクセスを防止する
* IP フィルタ機能 (*1) を使用し、接続可能な IP アドレスを制限する
(*1) GT Designer3 (GOT2000) 画面設計マニュアル (SH-081219) 「5.4.3 章 IP フィルタを設定する」を参照
詳しくは、開発者が提供する情報を確認してください。
|
|
三菱電機
|
|
- パスワードの弱い暗号の使用(CWE-261) [その他]
|
|
- CVE-2023-0525
|
|
- JVN : JVNVU#95285923
- National Vulnerability Database (NVD) : CVE-2023-0525
- ICS-CERT ADVISORY : ICSA-23-215-02
|
|
|
