公開日:2023/02/02 最終更新日:2023/02/03

JVNVU#91222434
三菱電機製GOT2000シリーズおよびGT SoftGOT2000のGOT Mobile機能における複数の脆弱性

概要

三菱電機製GOT2000シリーズおよびGT SoftGOT2000のGOT Mobile機能には、複数の脆弱性が存在します。

影響を受けるシステム

GOT2000シリーズで「GOT Mobile 機能」を使用している場合:

  • GOT2000
    • GT27モデル 01.14.000から01.47.000まで
    • GT25モデル 01.14.000から01.47.000まで
GT SoftGOT2000で「GOT Mobile 機能」を使用している場合:
  • GT SoftGOT2000
    • 1.265Bから1.285Xまで
バージョンの確認方法については、開発者が提供する次のマニュアルを参照してください。
最新マニュアルは、三菱電機FAサイトから入手できます。
  • GOT2000 シリーズ本体取扱説明書(ユーティリティ編) (SH-081187)
    • 「6.9 章パッケージ管理」内の「プロパティ操作」
  • GT SoftGOT2000 Version1 操作マニュアル (SH-081193)
    • 「2.7 章ヘルプ」内の「GT SoftGOT2000 のバージョン確認手順([バージョン情報]選択時)」
詳しくは、開発者が提供する情報をご確認ください。

詳細情報

三菱電機株式会社が提供するGOT2000シリーズおよびGT SoftGOT2000のGOT Mobile機能には、次の複数の脆弱性が存在します。

  • レンダリングされたユーザインターフェースレイヤまたはフレームの不適切な制限(CWE-1021CVE-2022-40268
  • スプーフィングによる認証回避(CWE-290CVE-2022-40269

想定される影響

  • クリックジャッキングによって、ユーザの意図しない操作が実行される - CVE-2022-40268
  • 不適切なHTML属性の設定を悪用し、ユーザのウェブブラウザ内の機微な情報が窃取されたり、正規ユーザになりすまされたりする - CVE-2022-40269

対策方法

アップデートする
開発者が提供する情報をもとにアップデートを実施してください。GOT Mobile機能の対策済みバージョンはGT Designer3 Version1(GOT2000) Ver.1.290C以降に同梱されています。

  • GOT2000
    • GT27モデル 01.48.000およびそれ以降
    • GT25モデル 01.48.000およびそれ以降
  • GT SoftGOT2000
    •  1.290Cおよびそれ以降
アップデートの方法等詳細については、開発者が提供する情報を確認してください。

ワークアラウンドを実施する
次の回避策を適用することで、本脆弱性の影響を回避することが可能です。
  • GOT Mobile 機能を無効にする

次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
  • 対象製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等を使用する
  • 製品をLAN 内で使用し、信頼できないネットワークやホストからのアクセスを制限する
  • 対象製品へアクセス可能なコンピュータにウイルス対策ソフトを導入する
  • IP フィルタ機能(*1)を使用し、接続可能なIPアドレスを制限する
(*1)IPフィルタ機能については、次のマニュアルを参照してください
  •   GT Designer3 (GOT2000)画面設計マニュアル(SH-081219)
    • 「5.4.3 章 IP フィルタを設定する」

参考情報

  1. ICS Advisory (ICSA-23-033-02)
    Mitsubishi Electric GOT2000 Series and GT SoftGOT2000

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2023/02/03
[参考情報]にICS Advisoryのリンクを追加しました