公開日:2022/11/24 最終更新日:2022/12/14

JVNVU#97244961
三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性

概要

三菱電機製FAエンジニアリングソフトウェア製品には、複数の脆弱性が存在します。

影響を受けるシステム

影響を受ける各製品のバージョンは、各脆弱性により異なります。
詳しくは、開発者が提供する情報をご確認ください。

  • GX Works3
  • MX OPC UA Module Configurator-R
各製品のバージョンの確認方法については、開発者が提供する次のマニュアルをご確認ください。
マニュアルはダウンロード | 三菱電機 FAページから入手できます。
  • GX Works3
    • 「GX Works3オペレーティングマニュアル」の「1.8 GX Works3の操作方法について調べる」の「GX Works3のバージョン確認」
  • MX OPC UA Module Configurator-R
    • 「MELSEC iQ-R OPC UAサーバユニットユーザーズマニュアル(応用編)」の「2.12 ヘルプ」

詳細情報

三菱電機株式会社が提供するFAエンジニアリングソフトウェア製品には、次の複数の脆弱性が存在します。

  • 重要な情報の平文保存(CWE-312)- CVE-2022-25164
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N 基本値: 8.6
  • ハードコードされたパスワードの使用(CWE-259)- CVE-2022-29825
    CVSS v3 CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N 基本値: 5.6
  • 重要な情報の平文保存(CWE-312)- CVE-2022-29826
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N 基本値: 6.8
  • ハードコードされた暗号鍵の使用(CWE-321)- CVE-2022-29827
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N 基本値: 6.8
  • ハードコードされた暗号鍵の使用(CWE-321)- CVE-2022-29828
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N 基本値: 6.8
  • ハードコードされた暗号鍵の使用(CWE-321)- CVE-2022-29829
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N 基本値: 6.8
  • ハードコードされた暗号鍵の使用(CWE-321)- CVE-2022-29830
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N 基本値: 9.1
  • ハードコードされたパスワードの使用(CWE-259)- CVE-2022-29831
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5
  • メモリにおける平文での重要な情報の保存(CWE-316)- CVE-2022-29832
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 3.7
  • 認証情報の不十分な保護(CWE-522)- CVE-2022-29833
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N 基本値: 6.8

想定される影響

想定される影響は脆弱性により異なりますが、次のような可能性があります。

  • 機密情報が漏えいし、結果として、権限のないユーザによってCPUユニットおよびOPC UAサーバユニットへ不正にアクセスされる - CVE-2022-25164
  • 機密情報が漏えいし、結果として、権限のないユーザによってプログラムを不正に閲覧されたりプログラムを不正に実行されたりする - CVE-2022-29825、CVE-2022-29826、CVE-2022-29827、CVE-2022-29828、CVE-2022-29829
  • 機密情報が漏えいまたは改ざんされ、結果として、権限のないユーザによってプロジェクトファイルに関する情報を不正に取得される - CVE-2022-29830
  • 権限のないユーザによって、安全CPUユニットのプロジェクトファイルに関する情報が漏えいする - CVE-2022-29831
  • 機密情報が漏えいし、結果として、権限のないユーザによって安全CPUのプロジェクトファイルに関する情報を不正に取得される - CVE-2022-29832
  • 機密情報が漏えいし、結果として、権限のないユーザによって安全CPUユニットへ不正にアクセスされる - CVE-2022-29833
詳しくは、開発者が提供する情報をご確認ください。

対策方法

アップデートする
アップデートが提供されている製品のバージョンに関しては、開発者が提供する情報をもとにアップデートしてください。
アップデートは、ダウンロード | 三菱電機 FAページから入手できます。

ワークアラウンドを実施する
アップデートが提供されていない製品のバージョンを使っている場合、もしくはアップデートを速やかに適用できない場合、それぞれの脆弱性に対応した回避策を適用することで、本脆弱性の影響を軽減することが可能です。
回避策は脆弱性により異なります。詳しくは開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
三菱電機株式会社 複数の FA エンジニアリングソフトウェア製品における複数の脆弱性

参考情報

  1. ICS Advisory (ICSA-22-333-05)
    Mitsubishi Electric FA Engineering Software

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/12/14
[参考情報]にICS Advisoryのリンクを追加しました