公開日:2020/06/30 最終更新日:2020/07/01

JVNVU#90307594
複数の三菱電機製 FA エンジニアリングソフトウェア製品における複数の脆弱性

概要

複数の三菱電機製 FA エンジニアリングソフトウェア製品には、XML 処理の不備に起因する複数の脆弱性が存在します。

影響を受けるシステム

  • CPUユニットロギング設定ツール Ver. 1.94Y およびそれ以前
  • CW Configurator Ver. 1.010L およびそれ以前
  • EM Software Development Kit (EM Configurator) Ver. 1.010L およびそれ以前
  • GT Designer3 (GOT2000) Ver. 1.221F およびそれ以前
  • GX LogViewer Ver. 1.96A およびそれ以前
  • GX Works2 Ver. 1.586L およびそれ以前
  • GX Works3 Ver. 1.058L およびそれ以前
  • M_CommDTM-HART Ver. 1.00A
  • M_CommDTM-IO-Link Ver. 1.02C およびそれ以前
  • MELFA-Works Ver. 4.3 およびそれ以前
  • MELSEC-L フレキシブル高速I/O制御ユニット設定ツール Ver.1.004E およびそれ以前
  • MELSOFT FieldDeviceConfigurator Ver. 1.03D およびそれ以前
  • MELSOFT iQ AppPortal Ver. 1.11M およびそれ以前
  • MELSOFT Navigator Ver. 2.58L およびそれ以前
  • MI Configurator Ver. 1.003D およびそれ以前
  • モーション制御設定 Ver. 1.005F およびそれ以前
  • MR Configurator2 Ver. 1.72A およびそれ以前
  • MT Works2 Ver. 1.156N およびそれ以前
  • RT ToolBox2 Ver. 3.72A およびそれ以前
  • RT ToolBox3 Ver. 1.50C およびそれ以前
詳しくは、開発者が提供する情報をご確認ください。

詳細情報

複数の三菱電機製 FA エンジニアリングソフトウェア製品には、XML 処理の不備に起因する次の複数の脆弱性が存在します。

  • XML 外部実体参照 (XXE) (CWE-611) - CVE-2020-5602
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 4.0
  • リソース枯渇 (CWE-400) - CVE-2020-5603
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 6.2

想定される影響

想定される影響は各脆弱性により異なりますが、第三者によって細工されたプロジェクトファイルや設定データファイルをユーザが使用した際に、次のような影響を受ける可能性があります。

  • 該当のソフトウェア製品が動作しているコンピュータ上のファイルが外部に送信される - CVE-2020-5602
  • 該当のソフトウェア製品がサービス運用妨害 (DoS) 状態となる - CVE-2020-5603

対策方法

アップデートする
開発者が提供する情報をもとに、各製品に対応したアップデートを適用してください。

  • CPUユニットロギング設定ツール Ver. 1.100E以降
  • CW Configurator Ver. 1.011M 以降
  • EM Software Development Kit (EM Configurator) Ver. 1.015R 以降
  • GT Designer3(GOT2000) Ver. 1.225K 以降
  • GX LogViewer Ver. 1.100E 以降
  • GX Works2 Ver. 1.590Q 以降
  • GX Works3 Ver. 1.060N 以降
  • M_CommDTM-HART Ver. 1.01B 以降
  • M_CommDTM-IO-Link Ver. 1.03D 以降
  • MELFA-Works Ver. 4.4 以降
  • MELSEC-L フレキシブル高速I/O制御ユニット設定ツール Ver.1.005F 以降
  • MELSOFT FieldDeviceConfigurator Ver. 1.04E 以降
  • MELSOFT iQ AppPortal Ver. 1.14Q 以降
  • MELSOFT Navigator Ver. 2.62Q 以降
  • MI Configurator Ver. 1.004E 以降
  • モーション制御設定 Ver. 1.006G 以降
  • MR Configurator2 Ver. 1.100E 以降
  • MT Works2 Ver. 1.160S 以降
  • RT ToolBox2 Ver. 3.73B 以降
  • RT ToolBox3 Ver. 1.60N 以降
ワークアラウンドを実施する
開発者によると、アップデートを適用できない場合には、次の回避策を適用することで、本脆弱性の影響を軽減することが可能とのことです。
  • 該当製品で使用するプロジェクトファイルや設定データファイルを、メール、USBメモリ、ファイルサーバを介して第三者から受け取る場合は、ファイルが正しい入手経路で取得されたものであることを確認する。または、入手経路不明なファイルが混入してないことを確認する。
  • 該当製品を操作する際は、管理者権限を持つアカウント以外で操作する。
  • 該当製品を使用するパソコンにウイルス対策ソフトを搭載する。
  • すべての制御システムデバイスやシステムのネットワークへの接続を最小限に抑え、信頼できないネットワークやホストからアクセスを制限する。
  • 制御システムネットワークとリモートデバイスをファイアウォールで防御し、OA ネットワークから分離する。
  • リモートアクセスが必要な場合は、仮想プライベートネットワーク (VPN) を使用する。
詳しくは、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
三菱電機株式会社 複数のFAエンジニアリングソフトウェア製品におけるXML処理の不備に起因する脆弱性

参考情報

  1. ICS Advisory (ICSA-20-182-02)
    Mitsubishi Electric Factory Automation Engineering Software Products

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-5602
CVE-2020-5603
JVN iPedia

更新履歴

2020/07/01
【参考情報】に ICS Advisory のリンクを追加しました