公開日:2021/10/05 最終更新日:2021/10/06

JVNVU#99532713
三菱電機製GOTおよびテンションコントローラのTCP/IPプロトコルスタックにおける複数の脆弱性

概要

三菱電機株式会社が提供するGOTおよびテンションコントローラのTCP/IPプロトコルスタックには、複数の脆弱性が存在します。

影響を受けるシステム

  • 表示器:GOT
    • GOT2000シリーズ GT21モデル
      • GT2107-WTBD 全バージョン
      • GT2107-WTSD 全バージョン
      • GT2104-RTBD 全バージョン
      • GT2104-PMBD 全バージョン
      • GT2103-PMBD 全バージョン
    • GOT SIMPLEシリーズ GS21モデル
      • GS2110-WTBD 全バージョン
      • GS2107-WTBD 全バージョン
      • GS2110-WTBD-N 全バージョン
      • GS2107-WTBD-N 全バージョン
  • テンションコントローラ
    • LE7-40GU-L 全バージョン

詳細情報

三菱電機株式会社が提供するGOTおよびテンションコントローラのTCP/IPプロトコルスタックには、次の複数の脆弱性が存在します。

想定される影響

遠隔の第三者によって細工されたパケットを受信することで、GOTおよびテンションコントローラがサービス運用妨害(DoS)状態となる可能性があります。

対策方法

ワークアラウンドを実施する
アップデートが提供されるまでの間、次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
開発者によると、本脆弱性に対するアップデートは、近日中にリリースするとのことです。

  • 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用する
  • 当該製品を LAN 内で使用し、信頼できないネットワークやホストからのアクセスをファイアウォールでブロックする
  • IP フィルタ機能を使用し、接続可能な IP アドレスを適切に制限する
詳しくは、開発者が提供する情報をご確認ください。

参考情報

  1. ICS Advisory (ICSA-21-278-01)
    Mitsubishi Electric GOT and Tension Controller

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2021/10/06
[参考情報]にICS Advisoryのリンクを追加しました。