公開日:2023/01/26 最終更新日:2023/01/27

JVNVU#94588481
三菱電機製MELFA SD/SQシリーズおよびFシリーズのロボットコントローラにおける認証回避の脆弱性

概要

三菱電機製MELFA SD/SQシリーズおよびFシリーズのロボットコントローラには、認証回避の脆弱性が存在します。

影響を受けるシステム

  • MELFA SD/SQシリーズ
    • RV-□SD○●■△-◎ CR□DA-◇◇◇△ S7x版およびそれ以前
    • RH-□SDH○●■△-◎ CR□DA-◇◇◇△ S7x版およびそれ以前
    • RH-□SDHR○☆■△-◎ CR□DA-◇◇◇△ S7x版およびそれ以前
    • RV-□SQ○●■△-◎ CR□QA-◇◇◇△ R7x版およびそれ以前
    • RH-□SQH○●■△-◎ CR□QA-◇◇◇△ R7x版およびそれ以前
    • RH-□SQHR○☆■△-◎ CR□QA-◇◇◇△ R7x版およびそれ以前
  • MELFA Fシリーズ
    • RV-□F○■△-▲D-◎ CR◇◇◇-□VD S7x版およびそれ以前
    • RH-□FH○☆△-▲D-◎ CR◇◇◇-□HD S7x版およびそれ以前
    • RH-□FHR○☆△-▲D-◎ CR◇◇◇-□HD S7x版およびそれ以前
    • RV-□F○■△-▲Q-◎ CR◇◇◇-□VQ R7x版およびそれ以前
    • RH-□FH○☆△-▲Q-◎ CR◇◇◇-□HQ R7x版およびそれ以前
    • RH-□FHR○☆△-▲Q-◎ CR◇◇◇-□HQ R7x版およびそれ以前
製品の型名やコントローラ型式、ファームウェアバージョンの確認方法等の詳細については、開発者が提供する情報をご確認ください。

詳細情報

三菱電機株式会社が提供するMELFA SD/SQシリーズおよびFシリーズのロボットコントローラには、利用可能なデバッグ機能が存在していることに起因する認証回避の脆弱性(CWE-489CVE-2022-33323)が存在します。

想定される影響

遠隔の第三者によって、telnetを経由し当該製品に不正にログインされ、ロボットコントローラに不正にアクセスされる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、ファームウエアアップデートを適用してください。
対策済み製品の入手に関しては、製品の購入元の支社や代理店にお問合せください。

ワークアラウンドを実施する
開発者が提供する回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等を使用し、不正アクセスを防止する
  • 当該製品をLAN内で使用し、信頼できないネットワークやホストからのアクセスをファイアウォールでブロックする
詳しくは、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
三菱電機株式会社 MELFA SD/SQシリーズおよびFシリーズのロボットコントローラにおける認証回避の脆弱性

参考情報

  1. ICS Advisory (ICSA-23-026-05)
    Mitsubishi Electric MELFA SD/SQ series and F-series Robot Controllers

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2023/01/27
[対策方法]を更新し、[参考情報]にICS Advisoryのリンクを追加しました