公開日:2024/11/28 最終更新日:2025/01/16

JVNVU#93891820
三菱電機製GENESIS64およびMC Works64における複数の脆弱性

概要

三菱電機製GENESIS64およびMC Works64には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2024-8299

  • GENESIS64およびMC Works64
    • Version 10.97.2およびそれ以前の全バージョン
      • DialogicドライバをインストールせずにDialogic社製テレフォニーボードを使⽤しているか、Dialogic社製テレフォニーボード以外を使⽤している場合
    • Version 10.97.3およびそれ以降の全バージョン
      • DialogicドライバをインストールせずにDialogic社製テレフォニーボードを使⽤しているか、Dialogic社製テレフォニーボード以外を使⽤している場合で、かつマルチエージェント通知機能(*1)がインストールされている場合
CVE-2024-8300
  • GENESIS64 Version 10.97.2、10.97.2 CFR1、10.97.2 CFR2、10.97.3
次の条件下で本脆弱性の影響を受けます
  • 該当製品がデフォルト以外の保護されていないフォルダにインストールされている場合
CVE-2024-9852
  • GENESIS64およびMC Works64
    • Version 10.97.2およびそれ以前の全バージョン
    • Version 10.97.3およびそれ以降の全バージョン
      • マルチエージェント通知機能(*1)がインストールされている場合
(*1)GENESIS64 Version 10.97.3およびそれ以降では、マルチエージェント通知機能はデフォルトインストールに含まれていません

各製品のバージョン情報等の確認方法および詳細については、開発者が提供する情報を確認してください。

詳細情報

三菱電機製GENESIS64およびMC Works64には、次の複数の脆弱性が存在します。

  • ファイル検索パスの制御不備(CWE-427
    • CVSS:v3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
    • CVE-2024-8299
  • デッドコード(CWE-561
    • CVSS:v3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.0
    • CVE-2024-8300
  • ファイル検索パスの制御不備(CWE-427
    • CVSS:v3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
    • CVE-2024-9852

想定される影響

CVE-2024-8299、CVE-2024-9852
細工されたDLLを特定のフォルダに格納された場合、悪意のあるプログラムが実行され、当該製品上の情報の漏えいや改ざん、破壊、削除をされたり、当該製品がサービス運用妨害(DoS)状態にされたりする可能性があります。

CVE-2024-8300
特定のDLLを改ざんされた場合、悪意のあるプログラムが実行され、当該製品上の情報の漏えいや改ざん、破壊、削除をされたり、当該製品がサービス運用妨害(DoS)状態にされたりする可能性があります。

対策方法

アップデートする
CVE-2024-8300向け:
開発者が提供する情報をもとにアップデートしてください。

GENESIS64 Version 10.97.2系を使用している場合:
本脆弱性に対するセキュリティパッチ「10.97.2 Critical Fixes Rollup 3」(要ログイン)

GENESIS64 Version 10.97.3系を使用している場合
本脆弱性に対するセキュリティパッチ「10.97.3 Critical Fixes Rollup 1」(要ログイン)

ワークアラウンドを実施する
全脆弱性向け:

  • 該当製品がインストールされたPCをLAN内で使用し、信頼できないネットワークやホスト、ユーザからのリモートログインをブロックする
  • 該当製品がインストールされたPCをインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等で不正アクセスを防止したうえで、信頼できるユーザのみにリモートログインを許可する
  • 該当製品がインストールされたPCおよび本PCが接続されているネットワークへの物理的なアクセスを制限する
  • 信頼できない送信元からのメール等に記載されたWebリンクをクリックしない、また信頼できないメールに添付されたファイルを開かない
CVE-2024-8299向け:
開発者によると、CVE-2024-8299の脆弱性に対する対策版をリリースする予定はないとのことです。
そのため、次に示す対策を適用することが推奨されています。
  • Phoneエージェントを使用する必要があり、Dialogic社製テレフォニーボードを使用している場合は、Dialogic社から提供されたドライバをインストールする
  • Phoneエージェントを使用する必要があり、Dialogic社製テレフォニーボード以外を使用している場合は、上記「ワークアラウンドを実施する」の全脆弱性向けとして記載している対策を適用する
  • マルチエージェント通知機能を使用する必要がない場合には、マルチエージェント通知機能をアンインストールする
  • マルチエージェント通知機能を使用する必要があり、かつPhoneエージェントが不要な場合には、マルチエージェント通知機能のカスタムインストールを実行し、Phoneエージェントをインストールの対象から除外する(使用しているOSのバージョンによって操作が異なるため、それら詳細については、開発者が提供する情報を確認してください)
CVE-2024-9852向け:
開発者によると、CVE-2024-9852の脆弱性に対する対策版をリリースする予定はないとのことです。
そのため、次に示す対策を適用することが推奨されています。
  • マルチエージェント通知機能を使用する必要がない場合には、マルチエージェント通知機能をアンインストールする
  • マルチエージェント通知機能を使用する必要があり、かつFaxエージェントが不要な場合には、マルチエージェント通知機能のカスタムインストールを実行し、Faxエージェントをインストールの対象から除外する
  • Faxエージェントをインストールする場合には、Windowsの「Windows FAXとスキャン」を有効にする(使用しているOSのバージョンによって操作が異なるため、それら詳細については、開発者およびMicrosoftが提供する情報を確認してください)
  • 上記「ワークアラウンドを実施する」の全脆弱性向けとして記載している対策を適用する
詳しくは、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
三菱電機株式会社 GENESIS64およびMC Works64における複数の脆弱性

参考情報

  1. ICS Advisory | ICSA-24-338-04
    ICONICS and Mitsubishi Electric GENESIS64 Products

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2024/12/04
[参考情報]にICS Advisoryのリンクを追加しました
2025/01/16
[影響を受けるシステム]、[想定される影響]、[対策方法]を更新しました