公開日:2022/01/20 最終更新日:2026/01/08

JVNVU#95403720
三菱電機製GENESIS64、ICONICS Suite、MC Works64およびGENESIS32における複数の脆弱性

概要

三菱電機株式会社が提供するGENESIS64、ICONICS Suite、MC Works64およびGENESIS32には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2022-23130

  • GENESIS64およびICONICS Suite Version 10.97
  • MC Works64 Version 4.00Aから4.04E
  • GENESIS32 Version 9.7およびそれ以前
CVE-2022-23128
  • GENESIS64 Version 10.97
  • MC Works64 Version 4.00Aから4.04E
CVE-2022-23129
  • GENESIS64 Version 10.97
  • MC Works64 Version 4.04Eおよびそれ以前のすべてのバージョン
CVE-2022-23127
  • MC Works64 Version 4.04Eおよびそれ以前のすべてのバージョン
影響を受けるバージョンの確認方法等の詳細は、開発者が提供する情報を確認してください。

詳細情報

三菱電機株式会社が提供するGENESIS64、ICONICS Suite、MC Works64およびGENESIS32には、次の複数の脆弱性が存在します。

  • バッファオーバーリード(CWE-126- CVE-2022-23130
    CVSS v3 CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:C/C:N/I:L/A:H 基本値: 5.9
  • 認証情報の平文保存(CWE-256- CVE-2022-23129
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H 基本値: 7.7
  • 不完全なブラックリスト(CWE-184- CVE-2022-23128
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • 反射型クロスサイトスクリプティング(CWE-79- CVE-2022-23127
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N 基本値: 4.2

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

CVE-2022-23130
細工されたストアドプロシージャを含む設定ファイルを、正規のユーザーがGENESIS64、ICONICS Suite、MC Works64またはGENESIS32へインポートし、データベースに対してコマンドを実行することで、GENESIS64、ICONICS Suite、MC Works64およびGENESIS32のデータベースサーバーがサービス運用妨害(DoS)状態となる

CVE-2022-23129
当該製品の機能の一つであるGridWorX(データベース連携機能)の設定情報をCSVファイルへ出力する際、認証情報が平文でCSVファイルに保存される。その結果、ローカルアクセス可能な攻撃者が当該CSVファイルを入手した場合、データベースへの不正なアクセスが可能となる。

CVE-2022-23128
遠隔の第三者によって、当該製品の機能の一つであるFrameWorXサーバに対し細工されたWebSocketプロトコルのパケットが送信されることで、GENESIS64またはMC Works64の認証が回避され、当該製品が不正に操作される

CVE-2022-23127
遠隔の第三者によって、MC Works64サーバーからモバイル端末用アプリ(MC Mobile)に配信される監視画面へのURLに悪意のあるスクリプトが埋め込まれ、ユーザにアクセスさせることで、MC Works64サーバーの認証情報が窃取される。その結果、窃取した認証情報を使って任意の操作がされる。

詳しくは、開発者が提供する情報を確認してください。

対策方法

アップデートする
セキュリティアップデートが提供されている製品およびバージョンに関しては、セキュリティアップデートを使用しソフトウェアを更新してください。
セキュリティアップデートが提供されている製品およびバージョンや入手方法等の詳細については、開発者が提供する情報を確認してください。

なお、GENESIS32に関しては、セキュリティアップデートのリリース予定がないため、開発者は最新のGENESIS64またはICONICS Suiteへの移行を推奨しています。

ワークアラウンドを実施する
セキュリティアップデートが提供されていない製品およびバージョンに対しては、開発者は次の回避策および軽減策を推奨しています。次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

CVE-2022-23130、CVE-2022-23127向け:

  • 制御システムネットワークとリモートデバイスをファイアウォールで防御し、ビジネスネットワークから分離する
  • すべての制御システムデバイスやシステムのネットワークへの接続を最小限に抑え、信頼できるネットワークやホストからのみアクセスできるよう制限する
  • 信頼できない送信元からのメール等に記載されたリンクをクリックしたり、信頼できないメールの添付ファイルを開いたりしない
CVE-2022-23129向け:
  • GridWorXの設定情報をCSVファイルへ出力した後、CSVファイル中に記載されているSQLデータベースの認証情報(パスワード)を削除する
  • GridWorXの設定情報をCSVファイルへ出力する前に、SQLデータベースの認証情報(パスワード)を削除する
  • GridWorXの設定情報をCSVファイルへ出力する権限を管理者以外のユーザに付与しないよう、セキュリティ機能の設定を変更する
  • 制御システムネットワークとリモートデバイスをファイアウォールで防御し、ビジネスネットワークから分離する
  • すべての制御システムデバイスやシステムのネットワークへの接続を最小限に抑え、信頼できるネットワークやホストからのみアクセスできるよう制限する
CVE-2022-23128向け:
  • FrameWorXサーバーの通信方式を、WebSocket通信からWCF通信に切り替える
    • 当該製品のインストール先フォルダにある「FwxServer.Network.config」ファイルの「WebSocketsTransport」項目を「false」に編集する
  • 制御システムネットワークとリモートデバイスをファイアウォールで防御し、ビジネスネットワークから分離する
  • すべての制御システムデバイスやシステムのネットワークへの接続を最小限に抑え、信頼できるネットワークやホストからのみアクセスできるよう制限する
詳しくは、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
三菱電機株式会社 GENESIS64、ICONICS Suite、MC Works64およびGENESIS32のデータベースサーバーにおけるサービス拒否(DoS)の脆弱性
GENESIS64およびMC Works64における情報漏えいの脆弱性
GENESIS64およびMC Works64のWeb通信機能における認証回避の脆弱性
MC Works64のモバイル監視における情報漏えいの脆弱性

参考情報

  1. ICS Advisory (ICSA-22-020-01)
    ICONICS and Mitsubishi Electric HMI SCADA

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/01/21
[参考情報]にICS Advisoryのリンクを追加しました
2026/01/08
[タイトル]、[概要]、[影響を受けるシステム]、[詳細情報]、[想定される影響]、[対策方法]、[ベンダ情報]を更新しました