JVNVU#99542285
ジェイテクト製TOYOPUCシリーズのコンピュータリンク方式のTCP通信における複数の脆弱性

株式会社ジェイテクトが提供するTOYOPUCシリーズのコンピュータリンク方式のTCP通信には、複数の脆弱性が存在します。

• PC10G-CPU Type=TCC-6353 全バージョン
• PC10GE Type=TCC-6464 全バージョン
• PC10P Type=TCC-6372 全バージョン
• PC10P-DP Type=TCC-6726 全バージョン
• PC10P-DP-IO Type=TCC-6752 全バージョン
• PC10B-P Type=TCC-6373 全バージョン
• PC10B Type=TCC-1021 全バージョン
• PC10E Type=TCC-4737 全バージョン
• PC10EL Type=TCC-4747 全バージョン
• Plus CPU Type=TCC-6740 全バージョン
• PC3JX Type=TCC-6901 全バージョン
• PC3JX-D Type=TCC-6902 全バージョン
• PC10PE Type=TCC-1101 全バージョン
• PC10PE-1616P Type=TCC-1102 全バージョン
• PCDL Type=TKC-6688 全バージョン
• Nano 10GX Type=TUC-1157 全バージョン
• Nano CPU Type=TUC-6941 全バージョン

株式会社ジェイテクトが提供するTOYOPUCシリーズのコンピュータリンク方式のTCP通信には、次の複数の脆弱性が存在します。

• 重要な機能に対する認証の欠如（CWE-306）- CVE-2022-29951

  CVSS v3

  CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:H

  基本値: 7.7

• データの信頼性についての不十分な検証（CWE-345）- CVE-2022-29958

  CVSS v3

  CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:H

  基本値: 7.7

想定される影響は脆弱性によって異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、当該製品の設定が変更されたり、データが操作されたり、サービス運用妨害（DoS）攻撃を受けたりする - CVE-2022-29951
• 遠隔の第三者によって、任意のマシンコードが実行される - CVE-2022-29958

ワークアラウンドを実施する
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

• 当該製品を含むシステムをインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク（VPN）等を使用し、システムへの不正アクセスを防止する
• 当該製品をルータやファイアウォールで適切に区分された信頼できるLAN内で使用する
• 該当製品へのアクセスを、IPフィルター等を使用し、信頼できるネットワークやホストからのアクセスに制限する
• HUBへの不正なデバイスの接続を防ぐため、使用していない空きポートをロックする