JVNVU#93893801
複数の三菱電機製 FA エンジニアリングソフトウェア製品における不適切なファイルアクセス制御の脆弱性

複数の三菱電機製 FA エンジニアリングソフトウェア製品には、不適切なファイルアクセス制御の脆弱性が存在します。

• CPU ユニットロギング設定ツール Ver. 1.100E およびそれ以前
• CW Configurator Ver. 1.010L およびそれ以前
• データ転送ツール Ver. 3.40S およびそれ以前
• EZSocket Ver. 4.5 およびそれ以前
• FR Configurator2 Ver. 1.22Y およびそれ以前
• GT Designer3 Version1 (GOT2000) Ver. 1.235V およびそれ以前
• GT SoftGOT1000 Version3 Ver. 3.200J およびそれ以前
• GT SoftGOT2000 Version1 Ver. 1.235V およびそれ以前
• GX LogViewer Ver. 1.100E およびそれ以前
• GX Works2 Ver. 1.592S およびそれ以前
• GX Works3 Ver. 1.063R およびそれ以前
• M_CommDTM-HART Ver. 1.00A
• M_CommDTM-IO-Link Ver. 1.03D およびそれ以前
• MELFA-Works Ver. 4.3 およびそれ以前
• WinCPU 設定ユーティリティ Ver. 1.03D およびそれ以前
• MELSOFT EM Software Development Kit (EM Configurator) Ver. 1.010L およびそれ以前
• MELSOFT FieldDeviceConfigurator Ver. 1.03D およびそれ以前
• MELSOFT Navigator Ver. 2.62Q およびそれ以前
• MH11 SettingTool Version2 Ver. 2.002C およびそれ以前
• MI Configurator Ver. 1.004E およびそれ以前
• Motorizer Ver. 1.005F およびそれ以前
• MR Configurator2 Ver. 1.105K およびそれ以前
• MT Works2 Ver. 1.156N およびそれ以前
• MX Component Ver. 4.19V およびそれ以前
• ネットワークインタフェースボード CC IE Control ユーティリティ Ver. 1.29F およびそれ以前
• ネットワークインタフェースボード CC IE Field ユーティリティ Ver. 1.16S およびそれ以前
• ネットワークインタフェースボード CC-Link Ver.2 ユーティリティ Ver. 1.23Z およびそれ以前
• ネットワークインタフェースボード MNETH ユーティリティ Ver. 34L およびそれ以前
• PX Developer Ver. 1.52E およびそれ以前
• RT ToolBox2 Ver. 3.72A およびそれ以前
• RT ToolBox3 Ver. 1.70Y およびそれ以前
• C 言語コントローラ設定・モニタツール (SW4PVC-CCPU) Ver. 4.12N およびそれ以前

複数の三菱電機製 FA エンジニアリングソフトウェア製品には、不適切なファイルアクセス制御の脆弱性 (CWE-275) が存在します。

不適切なファイルアクセス制御の脆弱性に起因して、遠隔の第三者によって一部のファイルを悪意のあるプログラムに置き換えられる可能性があります。管理者権限のユーザが悪意あるプログラムを実行した結果として、情報の取得、改ざん、破壊が行われたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。

アップデートする
開発者が提供する情報をもとに、各製品に対応したアップデートを適用してください。
アップデート (*1 を除く) は、こちらから入手可能とのことです。
なお、EZSocket (*1) は三菱電機パートナー企業向けの通信ミドルウェア製品のため開発者からパートナー企業に直接提供されるとのことです。
また、WinCPU設定ユーティリティ (MELSEC-Qシリーズ WinCPU ユニット用の設定ツール) については、対策版はリリースされないため、後継機種にあたる MELSEC iQ-Rシリーズ WinCPU ユニットへの移行および設定ツール CW Configurator (SW1DND-RCCPU-J) の使用を推奨するとのことです。

• CPU ユニットロギング設定ツール Ver. 1.106K およびそれ以降
• CW Configurator Ver. 1.011M およびそれ以降
• データ転送ツール Ver. 3.41T およびそれ以降
• EZSocket Ver. 4.6 およびそれ以降 (*1)
• FR Configurator2 Ver. 1.23Z およびそれ以降
• GT Designer3 Version1 (GOT2000) Ver. 1.236W およびそれ以降
• GT SoftGOT1000 Version3 Ver.3.245F およびそれ以降
• GT SoftGOT2000 Version1 Ver. 1.236W およびそれ以降
• GX LogViewer Ver. 1.106K およびそれ以降
• GX Works2 Ver. 1.595V およびそれ以降
• GX Works3 Ver. 1.065T およびそれ以降
• M_CommDTM-HART Ver. 1.01B およびそれ以降
• M_CommDTM-IO-Link Ver. 1.04E およびそれ以降
• MELFA-Works Ver. 4.4 およびそれ以降
• MELSOFT EM Software Development Kit (EM Configurator) Ver. 1.015R およびそれ以降
• MELSOFT FieldDeviceConfigurator Ver. 1.04E およびそれ以降
• MELSOFT Navigator Ver. 2.70Y およびそれ以降
• MH11 SettingTool Version2 Ver. 2.003D およびそれ以降
• MI Configurator Ver. 1.005F およびそれ以降
• Motorizer Ver. 1.010L およびそれ以降
• MR Configurator2 Ver. 1.106L およびそれ以降
• MT Works2 Ver. 1.160S およびそれ以降
• MX Component Ver. 4.20W およびそれ以降
• ネットワークインタフェースボード CC IE Control ユーティリティ Ver. 1.30G およびそれ以降
• ネットワークインタフェースボード CC IE Field ユーティリティ Ver. 1.17T およびそれ以降
• ネットワークインタフェースボード CC-Link Ver.2 ユーティリティ Ver. 1.24A およびそれ以降
• ネットワークインタフェースボード MNETH ユーティリティ Ver. 35M およびそれ以降
• PX Developer Ver. 1.53F およびそれ以降
• RT ToolBox2 Ver. 3.73B およびそれ以降
• RT ToolBox3 Ver. 1.80J およびそれ以降
• C 言語コントローラ設定・モニタツール (SW4PVC-CCPU) Ver. 4.13P およびそれ以降

• 該当製品をインストールしているパソコンに、対策バージョンの GX Works3、GX Works2 または MELSOFT Navigator をインストールする。
• 該当製品を管理者権限を持たないアカウントで操作する。
• 該当製品を使用するパソコンにウイルス対策ソフトを搭載する。
• すべての制御システムデバイスやシステムのネットワークへの接続を最小限に抑え、信頼できないネットワークやホストからアクセスできないようにする。
• 制御システムネットワークとリモートデバイスをファイアウォールで防御し、OA ネットワークから分離する。
• リモートアクセスが必要な場合は、仮想プライベートネットワーク(VPN)を使用する。