複数の三菱電機製品のTCPプロトコルスタックにセッション管理不備の脆弱性(JVN)
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月24日、複数の三菱電機製品のTCPプロトコルスタックに存在するセッション管理不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
シーケンサ MELSEC の複数シリーズ
表示器 GOT の複数シリーズ
インバータ FREQROL の複数シリーズ
ロボット MELFA の複数シリーズ
AC サーボ MELSERVO の複数シリーズ
三菱省エネデマンド監視サーバ E-Energy の複数シリーズ
データ収集アナライザ MELQIC IU1-1M20-D 全バージョン
テンションコントローラ LE7-40GU-L 全バージョン
バス乾燥・暖房・換気システム
ダクト用換気扇
レンジフードファン
ロスナイセントラル換気システム
太陽光発電システム カラーモニター エコガイド
エネルギー計測ユニット
ルームエアコン
HEMS対応アダプター、LANアダプター
空調管理システム/集中コントローラ―
空調管理システム/拡張コントローラー
空調管理システム/BMアダプター
JVNによると、想定される影響としては第三者による正規の機器へのなりすましが行われ、任意のコマンドを実行された結果、情報漏えいや改ざんなどが行われる可能性がある。
JVNでは対策として、アップデートが提供されている製品シリーズおよびバージョンに関してはアップデートを適用するよう呼びかけている。
また開発者によると、対策バージョンがリリースされていない、またはアップデートを適用できない場合は、当該製品をインターネットに接続する場合はファイアウォールや仮想プライベートネットワーク(VPN)等を使用する、当該製品はLAN内での使用に限定し信頼できないネットワークやホストからのアクセスを制限する、該当製品へアクセス可能なパソコンにウイルス対策ソフトを搭載する等の回避策を適用することで、本脆弱性の影響を軽減することが可能とのこと。
《ScanNetSecurity》