公開日:2022/11/24 最終更新日:2022/12/14
JVNVU#97244961
三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性
三菱電機製FAエンジニアリングソフトウェア製品には、複数の脆弱性が存在します。
影響を受ける各製品のバージョンは、各脆弱性により異なります。
詳しくは、開発者が提供する情報をご確認ください。
- GX Works3
- MX OPC UA Module Configurator-R
マニュアルはダウンロード | 三菱電機 FAページから入手できます。
- GX Works3
- 「GX Works3オペレーティングマニュアル」の「1.8 GX Works3の操作方法について調べる」の「GX Works3のバージョン確認」
- MX OPC UA Module Configurator-R
- 「MELSEC iQ-R OPC UAサーバユニットユーザーズマニュアル(応用編)」の「2.12 ヘルプ」
三菱電機株式会社が提供するFAエンジニアリングソフトウェア製品には、次の複数の脆弱性が存在します。
- 重要な情報の平文保存(CWE-312)- CVE-2022-25164
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N 基本値: 8.6 - ハードコードされたパスワードの使用(CWE-259)- CVE-2022-29825
CVSS v3 CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N 基本値: 5.6 - 重要な情報の平文保存(CWE-312)- CVE-2022-29826
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N 基本値: 6.8 - ハードコードされた暗号鍵の使用(CWE-321)- CVE-2022-29827
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N 基本値: 6.8 - ハードコードされた暗号鍵の使用(CWE-321)- CVE-2022-29828
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N 基本値: 6.8 - ハードコードされた暗号鍵の使用(CWE-321)- CVE-2022-29829
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N 基本値: 6.8 - ハードコードされた暗号鍵の使用(CWE-321)- CVE-2022-29830
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N 基本値: 9.1 - ハードコードされたパスワードの使用(CWE-259)- CVE-2022-29831
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5 - メモリにおける平文での重要な情報の保存(CWE-316)- CVE-2022-29832
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 3.7 - 認証情報の不十分な保護(CWE-522)- CVE-2022-29833
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N 基本値: 6.8
想定される影響は脆弱性により異なりますが、次のような可能性があります。
- 機密情報が漏えいし、結果として、権限のないユーザによってCPUユニットおよびOPC UAサーバユニットへ不正にアクセスされる - CVE-2022-25164
- 機密情報が漏えいし、結果として、権限のないユーザによってプログラムを不正に閲覧されたりプログラムを不正に実行されたりする - CVE-2022-29825、CVE-2022-29826、CVE-2022-29827、CVE-2022-29828、CVE-2022-29829
- 機密情報が漏えいまたは改ざんされ、結果として、権限のないユーザによってプロジェクトファイルに関する情報を不正に取得される - CVE-2022-29830
- 権限のないユーザによって、安全CPUユニットのプロジェクトファイルに関する情報が漏えいする - CVE-2022-29831
- 機密情報が漏えいし、結果として、権限のないユーザによって安全CPUのプロジェクトファイルに関する情報を不正に取得される - CVE-2022-29832
- 機密情報が漏えいし、結果として、権限のないユーザによって安全CPUユニットへ不正にアクセスされる - CVE-2022-29833
アップデートする
アップデートが提供されている製品のバージョンに関しては、開発者が提供する情報をもとにアップデートしてください。
アップデートは、ダウンロード | 三菱電機 FAページから入手できます。
ワークアラウンドを実施する
アップデートが提供されていない製品のバージョンを使っている場合、もしくはアップデートを速やかに適用できない場合、それぞれの脆弱性に対応した回避策を適用することで、本脆弱性の影響を軽減することが可能です。
回避策は脆弱性により異なります。詳しくは開発者が提供する情報をご確認ください。
ベンダ | リンク |
三菱電機株式会社 | 複数の FA エンジニアリングソフトウェア製品における複数の脆弱性 |
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
- 2022/12/14
- [参考情報]にICS Advisoryのリンクを追加しました