JVNVU#95298925
三菱電機製の空調管理システムにおける複数の脆弱性

三菱電機株式会社が提供する空調管理システムには、暗号化通信処理において複数の脆弱性が存在します。

影響を受ける製品（型番およびバージョン）は広範囲に及びます。
また、開発者によると、システム構成によって影響の有無が異なる場合があるとのことです。

影響を受ける製品（型番およびバージョン）やその確認方法等の詳細については、開発者が提供する情報をご確認ください。

三菱電機株式会社が提供する空調管理システムには、暗号化通信処理において次の複数の脆弱性が存在します。

• 解読される恐れの高い暗号アルゴリズムの使用（CWE-327）- CVE-2022-24296

  CVSS v3

  CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

  基本値: 3.1

• 情報漏えい（CWE-200）- CVE-2016-2183

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 7.5

• 解読される恐れの高い暗号アルゴリズムの使用（CWE-327）- CVE-2015-2808

  CVSS v3

  CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 5.9

• 解読される恐れの高い暗号アルゴリズムの使用（CWE-327）- CVE-2013-2566

  CVSS v3

  CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 5.9

• 中間者攻撃が可能となる脆弱性（CWE-300）- CVE-2009-3555

  CVSS v3

  CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:H

  基本値: 7.4

遠隔の第三者によってこれら脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 当該機器との通信の一部が漏えいしたり改ざんされたりする
• 当該機器がサービス運用妨害（DoS）状態となる

アップデートする
開発者から各製品および型番に対応したアップデートまたは後続製品が提供されています。
アップデート⽅法等の詳細については、開発者が提供する情報を参照の上、製品を購⼊した販売代理店にお問合せください。
不明点に関しては、三菱電機冷熱相談センター（TEL：0037-80-2224／携帯電話・PHSの場合はTEL：073-427-2224）にお問い合わせください。

ワークアラウンドを実施する
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

• 該当製品へのアクセスを、信頼できるネットワークやホストからのアクセスに制限する
• 該当製品へアクセス可能な機器のOSやWebブラウザのバージョンを最新に保ち、ウイルス対策ソフトを搭載する