【活用ガイド】

JVNDB-2024-010932

三菱電機製 GENESIS64 および MC Works64 におけるインストール時の不適切なファイルアクセス権設定の脆弱性

概要

三菱電機製 GENESIS64 および MC Works64 には、インストール時の不適切なファイルアクセス権設定の脆弱性 (CWE-276、CVE-2024-7587) が存在します。

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.8 (重要) [その他]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 低
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
影響を受けるシステム


三菱電機
  • GENESIS64 Version 10.97.3 およびそれ以前の全バージョン
  • MC Works64 全バージョン

バージョンの確認方法等の詳細は、開発者が提供する情報を確認してください。
想定される影響

該当製品のインストーラに同梱されている GenBroker32 が、GENESIS64 または MC Works64 と同一の PC にインストールされている場合、攻撃者によって C:\ProgramData\ICONICS にアクセスされると、当該フォルダに保存されている機密情報やデータが漏えいまたは改ざんされたり、システムがサービス運用妨害 (DoS) 状態となったりする可能性があります。
対策

[アップデートする]
GENESIS64 Version 10.97.3 のユーザ向け:
GenBroker32 をアンインストールした上で、GENESIS64 にセキュリティパッチを適用し、GenBroker32 を再インストールしてください。
セキュリティパッチは、ICONICS Community Portal からダウンロードできます。

GENESIS64 Version 10.97.2 およびそれ以前のユーザ向け:
GENESIS64 Version 10.97.3 に製品をアップグレードし、上記の手順に従い GenBroker32 を再インストールしてください。

MC Works64 のユーザ向け:
セキュリティパッチおよび対策版のリリース予定はないため、開発者は GENESIS64 への移行を推奨しています。
移行方法等詳細については、GENESIS64 - How to replace MC Works64 with GENESIS64_JP を確認してください。

[ワークアラウンドを実施する]
GENESIS64 のセキュリティパッチの適用や GENESIS64 Version 10.97.3 へのアップグレードが難しい場合には、次の回避策および軽減策を適用してください。

回避策:
GenBroker32 をインストールした PC の C:\ProgramData\ICONICS およびその配下にある全てのフォルダの権限から "Everyone" を手動で削除してください。配下にあるフォルダも含めて、一括で権限を削除する場合は以下の手順を実施してください。

 1. PC の C:\ProgramData\ICONICS のフォルダを右クリックしてプロパティ画面を開く
 2. セキュリティタブを開く
 3. 詳細設定をクリックする
 4. アクセス許可の変更をクリックする
 5. "Everyone" を選択して、「子オブジェクトのアクセス許可エントリすべてを、このオブジェクトから継承可能なアクセス許可エントリで置き換える」のチェックボックスにチェックを入れる
 6. 削除をクリックする
 
軽減策:

  • 該当製品がインストールされた PC を LAN 内で使用し、信頼できないネットワークやホスト、ユーザからのリモートログインをブロックする

  • 該当製品がインストールされた PC をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用し、信頼できるユーザのみにリモートログインを許可する

  • 当該製品がインストールされた PC、および同 PC が接続されているネットワークへの物理的なアクセスを制限する


 
詳しくは、開発者が提供する情報を確認してください。


ベンダ情報

三菱電機
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切なデフォルトパーミッション(CWE-276) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2024-7587
参考情報

  1. JVN : JVNVU#95548104
  2. National Vulnerability Database (NVD) : CVE-2024-7587
  3. ICS-CERT ADVISORY : ICSA-24-296-01
更新履歴

  • [2024年10月23日]
      掲載
  • [2025年09月05日]
      対策:内容を更新
      参考情報:National Vulnerability Database (NVD) (CVE-2024-7587) を追加

公表日2024/10/22
登録日2024/10/23
最終更新日2025/09/05