公開日:2024/11/28 最終更新日:2024/12/04

JVNVU#93891820
三菱電機製GENESIS64およびMC Works64における複数の脆弱性

概要

三菱電機製GENESIS64およびMC Works64には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2024-8299

  • GENESIS64およびMC Works64全バージョン
CVE-2024-8300
  • GENESIS64 Version 10.97.2、10.97.2 CFR1、10.97.2 CFR2、10.97.3
CVE-2024-9852
  • GENESIS64およびMC Works64全バージョン
各製品のバージョン情報等の確認方法および詳細については、開発者が提供する情報を確認してください。

詳細情報

三菱電機製GENESIS64およびMC Works64には、次の複数の脆弱性が存在します。

  • ファイル検索パスの制御不備(CWE-427
    • CVSS:v3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
    • CVE-2024-8299
  • デッドコード(CWE-561
    • CVSS:v3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.0
    • CVE-2024-8300
  • ファイル検索パスの制御不備(CWE-427
    • CVSS:v3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
    • CVE-2024-9852

想定される影響

CVE-2024-8299、CVE-2024-9852
次の条件下で影響を受けます:

  • GENESIS64およびMC Works64のバージョンが10.97.2あるいはそれ以前
  • 10.97.3あるいはそれ以降であり、マルチエージェント通知機能がインストールされている
細工されたDLLを特定のフォルダに格納された場合、悪意のあるプログラムが実行され、当該製品上の情報の漏えいや改ざん、破壊、削除をされたり、当該製品がサービス運用妨害(DoS)状態にされたりする可能性があります。

CVE-2024-8300
次の条件下で影響を受けます:
  • 該当製品が、デフォルト以外の保護されていないフォルダにインストールされている
細工されたDLLを特定のフォルダに格納された場合、悪意のあるプログラムが実行され、当該製品上の情報の漏えいや改ざん、破壊、削除をされたり、当該製品がサービス運用妨害(DoS)状態にされたりする可能性があります。

対策方法

アップデートする
CVE-2024-8300向け:
開発者が提供する情報をもとにアップデートしてください。

GENESIS64 Version 10.97.2系を使用している場合:
本脆弱性に対するセキュリティパッチ「10.97.2 Critical Fixes Rollup 3」(要ログイン)

GENESIS64 Version 10.97.3系を使用している場合
本脆弱性に対するセキュリティパッチ「10.97.3 Critical Fixes Rollup 1」(要ログイン)

ワークアラウンドを実施する
全脆弱性向け:

  • 該当製品がインストールされたPCをLAN内で使用し、信頼できないネットワークやホスト、ユーザからのリモートログインをブロックする
  • 該当製品がインストールされたPCをインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等で不正アクセスを防止したうえで、信頼できるユーザのみにリモートログインを許可する
  • 該当製品がインストールされたPCおよび本PCが接続されているネットワークへの物理的なアクセスを制限する
  • 信頼できない送信元からのメール等に記載されたWebリンクをクリックしない、また信頼できないメールに添付されたファイルを開かない
CVE-2024-8299およびCVE-2024-9852向け:
開発者によると、CVE-2024-8299およびCVE-2024-9852の脆弱性に対する対策版をリリースする予定はないとのことです。
そのため、次に示す回避策・軽減策を適用することが推奨されています。
  • マルチエージェント通知機能を使用する必要がない場合には、マルチエージェント通知機能をアンインストールする
CVE-2024-8300向け:
  • 該当製品をデフォルト以外の保護されていないフォルダにインストールしない
詳しくは、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
三菱電機株式会社 GENESIS64およびMC Works64における複数の脆弱性

参考情報

  1. ICS Advisory | ICSA-24-338-04
    ICONICS and Mitsubishi Electric GENESIS64 Products

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2024/12/04
[参考情報]にICS Advisoryのリンクを追加しました