公開日:2024/01/30 最終更新日:2024/02/01
JVNVU#95103362
三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性
三菱電機製FAエンジニアリングソフトウェア製品には、複数の脆弱性が存在します。
- EZSocket Ver.3.0およびそれ以降
- FR Configurator2 全バージョン
- GT Designer3 Version1(GOT1000) 全バージョン
- GT Designer3 Version1(GOT2000) 全バージョン
- GX Works2 Ver.1.11Mおよびそれ以降
- GX Works3 全バージョン
- MELSOFT Navigator Ver.1.04Eおよびそれ以降
- MT Works2 全バージョン
- MX Component Ver4.00Aおよびそれ以降
- MX OPC Server DA/UA (MC Works64同梱ソフトウェア) 全バージョン
三菱電機株式会社が提供する複数のFAエンジニアリングソフトウェア製品には、次の複数の脆弱性が存在します。
- 重要な機能に対する認証の欠如(CWE-306)- CVE-2023-6942
- 安全ではないリフレクション(CWE-470)- CVE-2023-6943
CVE-2023-6942
遠隔の第三者が細工したパケットを当該製品に送信することで、認証を回避して当該製品と不正に接続できる可能性があります。
CVE-2023-6943
当該製品との接続状態において、遠隔の第三者が悪意のあるライブラリへのパスを指定し関数を呼び出すことで、悪意のあるプログラムを実行できる可能性があります。結果として、権限のないユーザによって情報を窃取されたり、情報を改ざん・破壊・削除されたり、当該製品をサービス運用妨害(DoS)状態にされる可能性があります。
ワークアラウンドを実施する
開発者は以下の回避策ないし軽減策を推奨しています。
- 当該製品を使用する端末をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等で不正アクセスを防止したうえで、信頼できるユーザのみにリモートログインを許可する
- 当該製品を使用する端末をLAN内で使用し、信頼できないネットワークやホスト、ユーザからのリモートログインをブロックする
- 当該製品を使用する端末ならびに当該製品と通信可能な端末およびネットワーク機器への物理的なアクセスを制限する
- 信頼できないファイルを開いたり、信頼できないリンクをクリックしない
ベンダ | リンク |
三菱電機株式会社 | 複数のFAエンジニアリングソフトウェア製品における認証回避の脆弱性および悪意のあるプログラムが実行される脆弱性 |
-
ICS Advisory | ICSA-24-030-02
Mitsubishi Electric FA Engineering Software Products
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
- 2024/02/01
- [参考情報]にICS Advisoryのリンクを追加しました