公開日:2022/01/20 最終更新日:2022/01/21

JVNVU#95403720
三菱電機製GENESIS64およびMC Works64における複数の脆弱性

概要

三菱電機株式会社が提供するGENESIS64およびMC Works64には、複数の脆弱性が存在します。

影響を受けるシステム

  • CVE-2022-23130、CVE-2022-23128
    • GENESIS64 Version 10.97
    • MC Works64 Version 4.00Aから4.04E
  • CVE-2022-23129
    • GENESIS64 Version 10.97
    • MC Works64 Version 4.04Eおよびそれ以前のすべてのバージョン
  • CVE-2022-23127
    • MC Works64 Version 4.04Eおよびそれ以前のすべてのバージョン
影響を受けるバージョンの確認方法等の詳細は、開発者が提供する情報をご確認ください。

詳細情報

三菱電機株式会社が提供するGENESIS64およびMC Works64には、次の複数の脆弱性が存在します。

  • バッファオーバーリード(CWE-126- CVE-2022-23130
    CVSS v3 CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:C/C:N/I:L/A:H 基本値: 5.9
  • 認証情報の平文保存(CWE-256- CVE-2022-23129
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H 基本値: 7.7
  • 不完全なブラックリスト(CWE-184- CVE-2022-23128
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • 反射型クロスサイトスクリプティング(CWE-79- CVE-2022-23127
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N 基本値: 4.2

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • CVE-2022-23130
    • 細工されたストアドプロシージャを含む設定ファイルを、正規のユーザーがGENESIS64またはMC Works64へインポートしデータベースに対してコマンドを実行することで、GENESIS64およびMC Works64のデータベースサーバーがサービス運用妨害(DoS)状態となる
  • CVE-2022-23129
    • 当該製品の機能の一つであるGridWorX(データベース連携機能)の設定情報をCSVファイルへ出力する際、認証情報が平文でCSVファイルに保存される。その結果、ローカルアクセス可能な攻撃者が当該CSVファイルを入手した場合、データベースへの不正なアクセスが可能となる。
  • CVE-2022-23128
    • 遠隔の第三者によって、当該製品の機能の一つであるFrameWorXサーバに対し細工されたWebSocketプロトコルのパケットが送信されることで、GENESIS64またはMC Works64の認証が回避され、当該製品が不正に操作される
  •  CVE-2022-23127
    • 遠隔の第三者によって、MC Works64サーバーからモバイル端末用アプリ(MC Mobile)に配信される監視画面へのURLに悪意のあるスクリプトが埋め込まれ、ユーザにアクセスさせることで、MC Works64サーバーの認証情報が窃取される。その結果、窃取した認証情報を使って任意の操作がされる。

対策方法

アップデートする
セキュリティパッチを使用しソフトウェアを更新してください。
セキュリティパッチの入手方法等の詳細については、開発者が提供する情報をご確認ください。

ワークアラウンドを実施する
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • CVE-2022-23130、CVE-2022-23127向け
    • 制御システムネットワークとリモートデバイスをファイアウォールで防御し、ビジネスネットワークから分離する
    • すべての制御システムデバイスやシステムのネットワークへの接続を最小限に抑え、信頼できるネットワークやホストからのみアクセスできるよう制限する
    • 信頼できない送信元からのメール等に記載されたリンクをクリックしたり、信頼できないメールの添付ファイルを開いたりしない
  • CVE-2022-23129向け
    • GridWorXの設定情報をCSVファイルへ出力した後、CSVファイル中に記載されているSQLデータベースの認証情報(パスワード)を削除する
    • GridWorXの設定情報をCSVファイルへ出力する前に、SQLデータベースの認証情報(パスワード)を削除する
    • GridWorXの設定情報をCSVファイルへ出力する権限を管理者以外のユーザに付与しないよう、セキュリティ機能の設定を変更する
    • 制御システムネットワークとリモートデバイスをファイアウォールで防御し、ビジネスネットワークから分離する
    • すべての制御システムデバイスやシステムのネットワークへの接続を最小限に抑え、信頼できるネットワークやホストからのみアクセスできるよう制限する
  • CVE-2022-23128向け
    • FrameWorXサーバーの通信方式を、WebSocket通信からWCF通信に切り替える
      • 当該製品のインストール先フォルダにある「FwxServer.Network.config」ファイルの「WebSocketsTransport」項目を「false」に編集する
    • 制御システムネットワークとリモートデバイスをファイアウォールで防御し、ビジネスネットワークから分離する
    • すべての制御システムデバイスやシステムのネットワークへの接続を最小限に抑え、信頼できるネットワークやホストからのみアクセスできるよう制限する
詳しくは、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
三菱電機株式会社 GENESIS64およびMC Works64のデータベースサーバーにおけるサービス拒否(DoS)の脆弱性
GENESIS64およびMC Works64における情報漏えいの脆弱性
GENESIS64およびMC Works64のWeb通信機能における認証回避の脆弱性
MC Works64のモバイル監視における情報漏えいの脆弱性

参考情報

  1. ICS Advisory (ICSA-22-020-01)
    ICONICS and Mitsubishi Electric HMI SCADA

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/01/21
[参考情報]にICS Advisoryのリンクを追加しました