JVNDB-2024-002399
|
三菱電機製 MELSEC iQ-R シリーズ安全 CPU および SIL2 プロセス CPU ユニットにおける不適切な権限設定の脆弱性
|
|
三菱電機株式会社が提供する MELSEC iQ-R シリーズ安全 CPU および SIL2 プロセス CPU ユニットには、不適切な権限設定の脆弱性 (CWE-266、CVE-2023-6815) が存在します。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 6.5 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
三菱電機
- MELSEC iQ-R シリーズ 安全 CPU R08/16/32/120SFCPU 全バージョン
- MELSEC iQ-R シリーズ SIL2 プロセス CPU R08/16/32/120PSFCPU 全バージョン
|
|
|
遠隔の第三者が当該 CPU ユニットに管理者以外のユーザとしてログインした後に、細工したパケットを送信することによって、攻撃者より低い権限を持つユーザの認証情報 (ユーザ ID およびパスワード) を取得される可能性があります。
|
|
[ワークアラウンドを実施する]
次の回避策・軽減策を適用することで、本脆弱性の影響を軽減することが可能です。
* 「脆弱性対策強化バージョンの GX Works3 とのみ交信を行う」設定を有効にする (*1)
(*1) この設定は、次の組み合わせで使用している場合のみ設定可能
- MELSEC iQ-R シリーズ安全 CPU のファームウェアバージョン "27" およびそれ以降と GX Works3 バージョン 1.087R およびそれ以降で組み合わせて使用している場合
- MELSEC iQ-R シリーズ SIL2 プロセス CPU のファームウェアバージョン “12” およびそれ以降と GX Works3 バージョン 1.105K およびそれ以降で組み合わせて使用している場合
* 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用し、不正アクセスを防ぐ
* 当該製品を LAN 内で使用し、信頼できないネットワークやホストからのアクセスをファイアウォールでブロックする
* IP フィルタ機能 (*2) を使用し、信頼できないホストからのアクセスをブロックする
* 当該製品ならびに当該製品へ接続可能なコンピュータおよびネットワーク機器への物理的なアクセスを制限する
(*2) IP フィルタ機能の詳細は次のマニュアルを参照
MELSEC iQ-R Ethernet ユーザーズマニュアル (応用編) の 1.13 セキュリティの「IP フィルタ」
詳しくは、開発者が提供する情報を確認してください。
|
|
三菱電機
|
|
- 不適切な権限設定(CWE-266) [その他]
|
|
- CVE-2023-6815
|
|
- JVN : JVNVU#95085830
- ICS-CERT ADVISORY : ICSA-24-044-01
|
|
- [2024年02月14日]
掲載
- [2024年02月15日]
参考情報:ICS-CERT ADVISORY (ICSA-24-044-01) を追加
- [2024年05月17日]
対策:内容を更新
|
