JVNDB-2024-001162
|
三菱電機製 MELSEC WS シリーズ Ethernet インタフェースユニットにおける Capture-replay による認証回避の脆弱性
|
|
三菱電機株式会社が提供する MELSEC WS シリーズ Ethernet インタフェースユニットには、Capture-replay による認証回避の脆弱性 (CWE-294、CVE-2023-6374) が存在します。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 5.9 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): 高
- 可用性への影響(A): なし
|
|
|
三菱電機
- MELSEC WS シリーズ WS0-GETH00200 全てのシリアル番号
|
|
|
遠隔の第三者によって Capture-replay 攻撃による認証回避をされ、当該ユニットに不正にログインされる可能性があります。その結果、ユニット内のプログラムやパラメータの閲覧および改ざんをされる可能性があります。
|
|
[ワークアラウンドを実施する]
次の軽減策を適用することで、本脆弱性の影響を軽減することが可能です。
* 当該製品の通信を、仮想プライベートネットワーク (VPN) 等を使用し暗号化する
* 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用し、不正アクセスを防止する
* 当該製品を LAN 内で使用し、信頼できないネットワークやホストからのアクセスをファイアウォールでブロックする
* 当該製品および当該製品に接続された LAN 内にあるパソコンやネットワーク機器への物理的なアクセスを制限する
詳しくは、開発者が提供する情報を確認してください。
|
|
三菱電機
|
|
- Capture-replay による認証回避(CWE-294) [その他]
|
|
- CVE-2023-6374
|
|
- JVN : JVNVU#99497477
- National Vulnerability Database (NVD) : CVE-2023-6374
- ICS-CERT ADVISORY : ICSA-24-030-03
|
|
- [2024年01月31日]
掲載
- [2024年02月02日]
参考情報:ICS-CERT ADVISORY (ICSA-24-030-03) を追加
- [2024年03月11日]
参考情報:National Vulnerability Database (NVD) (CVE-2023-6374) を追加
|
