JVNVU#90895626
三菱電機製MELSECおよびMELIPCシリーズにおける不適切なリソースロックの脆弱性

三菱電機株式会社が提供するMELSECシリーズのCPUユニットおよびMELIPCシリーズには、不適切なリソースロックの脆弱性が存在します。

• MELSEC
  • iQ-Rシリーズ
    • R12CCPU-V
      • ファームウェアバージョン”16”およびそれ以前
  • Qシリーズ
    • Q03UDECPU、Q04/06/10/13/20/26/50/100UDEHCPU
      • シリアルNo.の上5桁”24061”およびそれ以前
    • Q03/04/06/13/26UDVCPU
      • シリアルNo.の上5桁”24051”およびそれ以前
    • Q04/06/13/26UDPVCPU
      • シリアルNo.の上5桁”24051”およびそれ以前
    • Q12DCCPU-V、Q24DHCCPU-V(G)、Q24/26DHCCPU-LS
      • シリアルNo.の上5桁”25061”およびそれ以前
  • Lシリーズ
    • L02/06/26CPU(-P)、L26CPU-(P)BT
      • シリアルNo.の上5桁”24051”およびそれ以前
• MELIPCシリーズ
  • MI5122-VW
    • ファームウェアバージョン”05”およびそれ以前

• 「MELSEC iQ-R ユニット構成マニュアル」の「付 1 製造情報・ファームウェアバージョン」
• 「QCPU ユーザーズマニュアル(ハードウェア設計・保守点検編)」の「付 5 シリアル No.と機能バージョンの確認方法」
• 「MELSEC-L CPU ユニットユーザーズマニュアル(ハードウェア設計・保守点検編)」の「付 5 シリアル No.と機能バージョンの確認方法」
• 「MELIPC MI5000 シリーズ ユーザーズマニュアル(スタートアップ編) 」の「付 17 製造情報・ファームウェアバージョン」

三菱電機株式会社が提供するMELSECシリーズのCPUユニットおよびMELIPCシリーズには、不適切なリソースロックの脆弱性（CWE-413、CVE-2022-24946）が存在します。

遠隔の第三者によって細工されたパケットを当該製品が受信することで、当該製品のEthernet通信機能がサービス運用妨害（DoS）状態となる可能性があります。
なお、サービス運用妨害（DoS）状態からの復旧には製品のリセットが必要です。

アップデートする
開発者が提供する情報をもとに、アップデートしてください。

• MELSEC
  • iQ-Rシリーズ
    • R12CCPU-V
      • ファームウェアバージョン”17”およびそれ以降
  • Qシリーズ
    • Q03UDECPU、Q04/06/10/13/20/26/50/100UDEHCPU
      • シリアルNo.の上5桁”24062”およびそれ以降
    • Q03/04/06/13/26UDVCPU
      • シリアルNo.の上5桁”24052”およびそれ以降
    • Q04/06/13/26UDPVCPU
      • シリアルNo.の上5桁”24052”およびそれ以降
    • Q12DCCPU-V、Q24DHCCPU-V(G)、Q24/26DHCCPU-LS
      • シリアルNo.の上5桁”25062”およびそれ以降
  • Lシリーズ
    • L02/06/26CPU(-P)、L26CPU-(P)BT
      • シリアルNo.の上5桁”24052”およびそれ以降
• MELIPCシリーズ
  • MI5122-VW
    • ファームウェアバージョン”06”およびそれ以降

• 当該製品をインターネットに接続する場合は、ファイアウォールの設置や仮想プライベートネットワーク（VPN）を使用し、不正なアクセスを制限する
• 当該製品をLAN内で使用し、当該製品への接続を最小限に抑え、信頼できるネットワークやホストからのみアクセスできるよう制限する