公開日:2020/11/05 最終更新日:2020/11/06

JVNVU#99562395
三菱電機製 GOT1000 シリーズ GT14 モデルにおける複数の脆弱性

概要

三菱電機株式会社が提供する GOT1000 シリーズ GT14 モデルの TCP/IP スタックには、複数の脆弱性が存在します。

影響を受けるシステム

下記製品の CoreOS バージョン 05.65.00.BD およびそれ以前

  • GT1455-QTBDE
  • GT1450-QMBDE
  • GT1450-QLBDE
  • GT1455HS-QTBDE
  • GT1450HS-QMBDE
バージョンの確認方法等の詳細については、開発者が提供する情報をご確認ください。

詳細情報

三菱電機株式会社が提供する GOT1000 シリーズ GT14 モデルの TCP/IP スタックには、次の複数の脆弱性が存在します。

  • バッファエラー (CWE-119) - CVE-2020-5644
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • セッションの固定化 (CWE-384) - CVE-2020-5645
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • NULL ポインタデリファレンス (CWE-476) - CVE-2020-5646
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • 不適切なアクセス制御 (CWE-284) - CVE-2020-5647
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • 引数の挿入または変更 (CWE-88) - CVE-2020-5648
    CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H 基本値: 7.1
  • リソース管理の問題 (CWE-399) - CVE-2020-5649
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値: 5.3

想定される影響

第三者によって細工されたパケットを受信することで、製品のネットワーク機能が停止したり、悪意あるプログラムが実行されたりする可能性があります。

対策方法

アップデートする
開発者が提供する次の手順に従って、CoreOS を次の対策済みバージョンにアップデートしてください。

  • CoreOS バージョン 05.76.00.BG およびそれ以降 (MELSOFT GT Designer3 Version1 (GOT1000) Ver.1.245F およびそれ以降のバージョンにて対応)
CoreOS のインストール手順等の詳細については、開発者が提供する情報および取扱説明書をご確認ください。
【GT14本体取扱説明書およびGT14ハンディGOT本体取扱説明書 ダウンロードURL】

ワークアラウンドを実施する

信頼できないネットワークやホストからのアクセスを制限することで、本脆弱性の影響を軽減できます。

詳しくは、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
三菱電機株式会社 GOT1000シリーズGT14モデルの TCP/IPスタックにおける複数の脆弱性

参考情報

  1. ICS Advisory (ICSA-20-310-02)
    Mitsubishi Electric GT14 Model of GOT1000 Series

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-5644
CVE-2020-5645
CVE-2020-5646
CVE-2020-5647
CVE-2020-5648
CVE-2020-5649
JVN iPedia

更新履歴

2020/11/06
【参考情報】に ICS Advisory のリンクを追加しました。