公開日:2024/11/28 最終更新日:2024/12/04
JVNVU#93891820
三菱電機製GENESIS64およびMC Works64における複数の脆弱性
三菱電機製GENESIS64およびMC Works64には、複数の脆弱性が存在します。
CVE-2024-8299
- GENESIS64およびMC Works64全バージョン
- GENESIS64 Version 10.97.2、10.97.2 CFR1、10.97.2 CFR2、10.97.3
- GENESIS64およびMC Works64全バージョン
三菱電機製GENESIS64およびMC Works64には、次の複数の脆弱性が存在します。
CVE-2024-8299、CVE-2024-9852
次の条件下で影響を受けます:
- GENESIS64およびMC Works64のバージョンが10.97.2あるいはそれ以前
- 10.97.3あるいはそれ以降であり、マルチエージェント通知機能がインストールされている
CVE-2024-8300
次の条件下で影響を受けます:
- 該当製品が、デフォルト以外の保護されていないフォルダにインストールされている
アップデートする
CVE-2024-8300向け:
開発者が提供する情報をもとにアップデートしてください。
GENESIS64 Version 10.97.2系を使用している場合:
本脆弱性に対するセキュリティパッチ「10.97.2 Critical Fixes Rollup 3」(要ログイン)
GENESIS64 Version 10.97.3系を使用している場合
本脆弱性に対するセキュリティパッチ「10.97.3 Critical Fixes Rollup 1」(要ログイン)
ワークアラウンドを実施する
全脆弱性向け:
- 該当製品がインストールされたPCをLAN内で使用し、信頼できないネットワークやホスト、ユーザからのリモートログインをブロックする
- 該当製品がインストールされたPCをインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等で不正アクセスを防止したうえで、信頼できるユーザのみにリモートログインを許可する
- 該当製品がインストールされたPCおよび本PCが接続されているネットワークへの物理的なアクセスを制限する
- 信頼できない送信元からのメール等に記載されたWebリンクをクリックしない、また信頼できないメールに添付されたファイルを開かない
開発者によると、CVE-2024-8299およびCVE-2024-9852の脆弱性に対する対策版をリリースする予定はないとのことです。
そのため、次に示す回避策・軽減策を適用することが推奨されています。
- マルチエージェント通知機能を使用する必要がない場合には、マルチエージェント通知機能をアンインストールする
- 該当製品をデフォルト以外の保護されていないフォルダにインストールしない
ベンダ | リンク |
三菱電機株式会社 | GENESIS64およびMC Works64における複数の脆弱性 |
-
ICS Advisory | ICSA-24-338-04
ICONICS and Mitsubishi Electric GENESIS64 Products
この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
- 2024/12/04
- [参考情報]にICS Advisoryのリンクを追加しました