三菱電機製空調管理システムに複数の脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月1日、三菱電機製空調管理システムにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
脆弱性と脅威
セキュリティホール・脆弱性
XML 外部実体参照 (XXE) の不適切な制限に関する脆弱性
・空調管理システム/集中コントローラ―
G-50 Ver.3.35 およびそれ以前
G-50-W Ver.3.35 およびそれ以前
GB-50 Ver.3.35 およびそれ以前
G-150AD Ver.3.20 およびそれ以前
GB-50AD Ver.3.20 およびそれ以前
AE-200J Ver.7.93 およびそれ以前
AE-50J Ver.7.93 およびそれ以前
EW-50J Ver.7.93 およびそれ以前
・空調管理システム/拡張コントローラー
PAC-YG50EC Ver.2.20 およびそれ以前
・空調管理システム/BMアダプター
PAC-YW01BAC Ver.5.13 およびそれ以前
PAC-YW51BAC Ver.8.11 およびそれ以前
WEB 機能の認証アルゴリズムの不適切な実装に関する脆弱性
・空調管理システム/集中コントローラー
G-50 Ver.2.50 から 3.35 まで
G-50-W Ver.2.50 から 3.35 まで
GB-50 Ver.2.50 から 3.35 まで
G-150AD Ver.3.20 およびそれ以前
GB-50AD Ver.3.20 およびそれ以前
AE-200J Ver.7.93 およびそれ以前
AE-50J Ver.7.93 およびそれ以前
EW-50J Ver.7.93 およびそれ以前
・空調管理システム/拡張コントローラー
PAC-YG50EC Ver.2.20 およびそれ以前
三菱電機製空調管理システムには、XML 外部実体参照 (XXE) の不適切な制限に関する脆弱性が存在し、遠隔の第三者によって細工された不正なパケットを当該製品が受信すると、当該機器内部の一部の情報が漏えいしたり、当該機器がサービス運用妨害(DoS)状態になったりする可能性がある。
また、三菱電機製空調管理システムの WEB 機能には、認証アルゴリズムの不適切な実装に関する脆弱性が存在し、当該製品の WEB 機能にログイン可能な遠隔の第三者によって、権限昇格により当該製品の管理者権限で操作され、その結果、当該空調管理システムの設定情報を取得されたり、空調機器の運転操作や設定値といった設定情報を改ざんされたりする可能性がある。
JVNでは各製品および型番に対応したアップデートを適用するか、以下の回避策を適用し脆弱性の影響を軽減するよう呼びかけている。
・インターネット等の外部ネットワークへ接続する場合は、VPN ルーター等を使用する
・該当製品へアクセス可能なパソコンにウイルス対策ソフトを搭載する
・該当製品へのアクセスを、信頼できるネットワークやホストからのアクセスのみに制限する
・工場出荷時のユーザー名とパスワードを変更する
《ScanNetSecurity》
関連記事
関連リンク
特集
アクセスランキング
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖
-
2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査
-
クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に
-
「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい
-
SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感
-
「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開
-
トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催