三菱電機製 MELSEC iQ-R シリーズにリソース枯渇の脆弱性 | ScanNetSecurity
2021.10.21(木)

三菱電機製 MELSEC iQ-R シリーズにリソース枯渇の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月14日、三菱電機製 MELSEC iQ-R シリーズにおけるリソース枯渇の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月14日、三菱電機製 MELSEC iQ-R シリーズにおけるリソース枯渇の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

R00/01/02CPU ファームウェアバージョン "19" およびそれ以前
R04/08/16/32/120 (EN) CPU ファームウェアバージョン "51" およびそれ以前
R08/16/32/120SFCPU ファームウェアバージョン "22" およびそれ以前
R08/16/32/120PCPU ファームウェアバージョン "25" およびそれ以前
R08/16/32/120PSFCPU ファームウェアバージョン "06" およびそれ以前
RJ71EN71 ファームウェアバージョン "47" およびそれ以前
RJ71GF11-T2 ファームウェアバージョン "47" およびそれ以前
RJ72GF15-T2 ファームウェアバージョン "07" およびそれ以前
RJ71GP21-SX ファームウェアバージョン "47" およびそれ以前
RJ71GP21S-SX ファームウェアバージョン "47" およびそれ以前
RJ71C24 (-R2/R4) 全バージョン
RJ71GN11-T2 ファームウェアバージョン "11" およびそれ以前

 三菱電機株式会社が提供する MELSEC iQ-R シリーズのユニットには、リソース枯渇の脆弱性が存在し、遠隔の第三者によって細工された SLMP パケットを受信することで、CPU ユニットの場合はエラーが発生しプログラムの実行および通信がサービス運用妨害(DoS)状態となる、CPU ユニット以外の場合はユニット経由の通信がサービス運用妨害(DoS)状態となる可能性がある。

 下記製品に関してはアップデートが提供されており、下記以外の製品については、近日中にアップデートをリリース予定。

R00/01/02CPU ファームウェアバージョン "20" およびそれ以降
R04/08/16/32/120 (EN) CPU ファームウェアバージョン "52" およびそれ以降
R08/16/32/120SFCPU ファームウェアバージョン "23" およびそれ以降
R08/16/32/120PCPU ファームウェアバージョン "26" およびそれ以降
R08/16/32/120PSFCPU ファームウェアバージョン "07" およびそれ以降
RJ71EN71 ファームウェアバージョン "48" およびそれ以降
RJ71GF11-T2 ファームウェアバージョン "48" およびそれ以降
RJ72GF15-T2 ファームウェアバージョン "08" およびそれ以降
RJ71GP21-SX ファームウェアバージョン "48" およびそれ以降
RJ71GP21S-SX ファームウェアバージョン "48" およびそれ以降
RJ71GN11-T2 ファームウェアバージョン "12" およびそれ以降

 開発者では、対策バージョンがリリースされていない、アップデートを適用できない場合には、当該製品をインターネットに接続する場合にはファイアウォールや仮想プライベートネットワーク(VPN)などを使用する、当該製品を LAN 内での使用に限定し、信頼できないネットワークやホストからのアクセスを制限するなどの回避策を適用するよう呼びかけている。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. 非対面時代にハイブリッド開催を行う意味 ~ サイバーセキュリティ会議「CODE BLUE 2021」来週開催 会場参加チケット本日迄

    非対面時代にハイブリッド開催を行う意味 ~ サイバーセキュリティ会議「CODE BLUE 2021」来週開催 会場参加チケット本日迄

  2. 日立グループが2021年12月にPPAP廃止、12/13以降送受信不可

    日立グループが2021年12月にPPAP廃止、12/13以降送受信不可

  3. モンハンよりも面白い? 攻撃者目線を学ぶ「イエラエアカデミー」

    モンハンよりも面白い? 攻撃者目線を学ぶ「イエラエアカデミー」PR

  4. 富士病院に不正アクセス、システム障害発生に伴い診療制限を実施

    富士病院に不正アクセス、システム障害発生に伴い診療制限を実施

  5. 漏えい事故発生 その時企業は何をすべきか ~ 日本・台湾・タイ・EU 規制状況

    漏えい事故発生 その時企業は何をすべきか ~ 日本・台湾・タイ・EU 規制状況

  6. GSXが中堅企業へ提供するセキュリティアセスメントサービスが教える「日本人がとても知りたいこと」

    GSXが中堅企業へ提供するセキュリティアセスメントサービスが教える「日本人がとても知りたいこと」PR

  7. NFT マーケットプレイス「nanakusa」に不正アクセス、一部NFTが外部流出

    NFT マーケットプレイス「nanakusa」に不正アクセス、一部NFTが外部流出

  8. NISC「ランサムウェア特設ページ STOP! RANSOMWARE」を開設、関係機関での取組と紹介

    NISC「ランサムウェア特設ページ STOP! RANSOMWARE」を開設、関係機関での取組と紹介

  9. オリンパス、EMEA地域に続き今度は米州で不正アクセス被害

    オリンパス、EMEA地域に続き今度は米州で不正アクセス被害

  10. 教育機関デジタル化実態調査、オンライン学習に潜むサイバー不正行為に警鐘

    教育機関デジタル化実態調査、オンライン学習に潜むサイバー不正行為に警鐘

ランキングをもっと見る