JVNDB-2023-002791
|
三菱電機製 GOT2000 シリーズおよび GOT SIMPLE シリーズの FTP サーバ機能にデータコネクションを待ち受けるポート番号を容易に推測可能な脆弱性
|
|
三菱電機株式会社が提供する GOT2000 シリーズおよび GOT SIMPLE シリーズには FTP サーバ機能が実装されています。クライアントからの FTP 接続に対してパッシブモードで動作する際、FTP サーバはクライアントからの接続を待ち受けますが、このとき使われるポート番号は容易に推測可能です (CWE-342、CVE-2023-3373)。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 5.9 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): 高
- 可用性への影響(A): 低
|
|
|
三菱電機
- GOT SIMPLE シリーズ GS21 モデル 01.49.000 およびそれ以前
- GOT2000 シリーズ GT21 モデル 01.49.000 およびそれ以前
|
|
|
FTP 接続が行われた際、遠隔の第三者がタイミングを見計らって FTP サーバの待ち受けポートに接続する可能性があります。
これによって、データコネクションの確立を妨害するサービス運用妨害 (DoS) 攻撃や、FTP 接続で通信されるデータの窃取や改ざんが行われる可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
アップデート方法等の詳細については、開発者が提供する情報を確認してください。
[ワークアラウンドを実施する]
次の回避策を適用することで、本脆弱性の影響を回避することが可能です。
* FTP サーバ機能が不要な場合は、FTP サーバ機能を無効にする
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* 当該製品および当該製品が接続された LAN への物理的なアクセスを制限する
* 対象製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用する
* 製品を LAN 内で使用し、信頼できないネットワークやホストからのアクセスを制限する
* IP フィルタ機能 (*1) を使用し、接続可能な IP アドレスを制限する
(*1) IP フィルタ機能については、次のマニュアルを参照してください
* GT Designer3 (GOT2000) 画面設計マニュアル (SH-081219)
* 「5.4.3 章 IP フィルタを設定する」
|
|
三菱電機
|
|
- 以前の値から予測可能な正確な値(CWE-342) [その他]
|
|
- CVE-2023-3373
|
|
- JVN : JVNVU#92167394
- National Vulnerability Database (NVD) : CVE-2023-3373
- ICS-CERT ADVISORY : ICSA-23-215-01
|
|
|
