独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月29日、三菱電機製家電製品における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
・重要な情報の平文送信(CVE-2022-33321)
太陽光発電システム カラーモニター エコガイド
HEMS対応アダプター・無線LANアダプター
ルームエアコン
IHクッキングヒーター
三菱HEMS用エネルギー計測ユニット
無線LANアダプター
ルームエアコン・無線LANアダプター
冷蔵庫
ヒートポンプ給湯機・HEMS対応アダプター、無線LANアダプター
バス乾燥・暖房・換気システム
炊飯器
三菱HEMS用 制御アダプター、無線LANアダプター
ロスナイセントラル換気システム
スマートスイッチ
ダクト用換気扇
レンジフードファン
HEMS対応アダプター、LANアダプター
エネルギー計測ユニット
・解放済メモリの使用(CVE-2022-29859)、クロスサイトスクリプティング(CVE-2022-33322)
ルームエアコン・無線LANアダプター
冷蔵庫
ヒートポンプ給湯機・HEMS対応アダプター、無線LANアダプター
バス乾燥・暖房・換気システム
炊飯器
三菱HEMS用 制御アダプター、無線LANアダプター
ロスナイセントラル換気システム
スマートスイッチ
三菱電機製家電製品には、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・重要な情報の平文送信(CVE-2022-33321)
HTTP通信を傍受した第三者に認証情報が取得され製品に不正にアクセスされ、情報漏えいや情報改ざんが行われたり、当該製品がサービス運用妨害(DoS)攻撃を受ける可能性がある。
・解放済メモリの使用(CVE-2022-29859)
第三者によって細工されたデータを当該製品が受信した際に、当該製品がサービス運用妨害(DoS)状態となる可能性がある。
・クロスサイトスクリプティング(CVE-2022-33322)
当該製品のユーザのWebブラウザ上で任意のスクリプトが実行される可能性がある。
影響を受ける製品は脆弱性により異なるうえ広範囲に及ぶため、JVNでは開発者が提供する情報を確認するよう呼びかけている。
