公開日:2024/05/14 最終更新日:2024/05/15

JVNVU#94962176
三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性

概要

三菱電機製FAエンジニアリングソフトウェア製品には、Jungo社製WinDriverに起因する複数の脆弱性が存在します。

影響を受けるシステム

影響を受ける製品は広範囲に及びます。

影響を受ける製品およびバージョン等の詳細については、開発者が提供する情報を確認してください。

詳細情報

三菱電機株式会社が提供する複数のFAエンジニアリングソフトウェア製品には、Jungo社製WinDriverに起因する次の複数の脆弱性が存在します。下記のCVEは、すべてWinDriverに対して採番されたものです。

  • 不適切な権限管理(CWE-269
    • CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N 基本値:4.4
    • CVE-2023-51776
  • リソースの枯渇(CWE-400
    • CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H 基本値:4.4
    • CVE-2023-51777
  • 境界外書き込み(CWE-787
    • CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H 基本値:4.4
    • CVE-2023-51778
  • リソースの枯渇(CWE-400
    • CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H 基本値:4.4
    • CVE-2024-22102
  • 境界外書き込み(CWE-787
    • CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H 基本値:4.4
    • CVE-2024-22103
  • 境界外書き込み(CWE-787
    • CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H 基本値:4.4
    • CVE-2024-22104
  • リソースの枯渇(CWE-400
    • CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H 基本値:4.4
    • CVE-2024-22105
  • 不適切な権限管理(CWE-269
    • CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:H 基本値:6.0
    • CVE-2024-22106
  • 不適切な権限管理(CWE-269
    • CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N 基本値:4.4
    • CVE-2024-25086
  • リソースの枯渇(CWE-400
    • CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H 基本値:4.4
    • CVE-2024-25087
  • 不適切な権限管理(CWE-269
    • CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N 基本値:4.4
    • CVE-2024-25088
  • 不適切な権限管理(CWE-269
    • CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N 基本値:4.4
    • CVE-2024-26314

想定される影響

想定される影響は各脆弱性によって異なりますが、次のような可能性があります。

  • 当該ソフトウェア製品がインストールされているコンピュータ上で悪意のあるプログラムが実行されることによって、Windowsのブルースクリーン(BSOD)エラーが引き起こされ、サービス運用妨害(DoS)状態となる - CVE-2023-51777、CVE-2023-51778、CVE-2024-22102、CVE-2024-22103、CVE-2024-22104、CVE-2024-22105、CVE-2024-25087
  • 当該ソフトウェア製品がインストールされているコンピュータ上で悪意のあるプログラムが実行されることによって、Windowsのシステム権限を取得されて任意のコマンドが実行される - CVE-2023-51776、CVE-2024-25086、CVE-2024-25088、CVE-2024-26314
  • 当該ソフトウェア製品がインストールされているコンピュータ上で悪意のあるプログラムが実行されることによって、Windowsのブルースクリーン(BSOD)エラーが引き起こされ、サービス運用妨害(DoS)状態となったり、Windowsのシステム権限を取得されて任意のコマンドが実行されたりする - CVE-2024-22106
詳しくは、開発者が提供する情報を確認してください。

対策方法

ワークアラウンドを実施する
開発者は以下の回避策を推奨しています。

  • 当該製品を使用する端末への物理的なアクセスを制限する
  • 信頼できないファイルを開いたり、信頼できないリンクをクリックしない
詳しくは、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
三菱電機株式会社 複数のFAエンジニアリングソフトウェア製品におけるJungo社製WinDriverに起因する複数の脆弱性

参考情報

  1. ICS Advisory | ICSA-24-135-04
    Mitsubishi Electric Multiple FA Engineering Software Products

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2024/05/15
[参考情報]にICS Advisoryのリンクを追加しました