独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月24日、複数の三菱電機製品のTCPプロトコルスタックに存在するセッション管理不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。シーケンサ MELSEC の複数シリーズ表示器 GOT の複数シリーズインバータ FREQROL の複数シリーズロボット MELFA の複数シリーズAC サーボ MELSERVO の複数シリーズ三菱省エネデマンド監視サーバ E-Energy の複数シリーズデータ収集アナライザ MELQIC IU1-1M20-D 全バージョンテンションコントローラ LE7-40GU-L 全バージョンバス乾燥・暖房・換気システムダクト用換気扇レンジフードファンロスナイセントラル換気システム太陽光発電システム カラーモニター エコガイドエネルギー計測ユニットルームエアコンHEMS対応アダプター、LANアダプター空調管理システム/集中コントローラ―空調管理システム/拡張コントローラー空調管理システム/BMアダプターJVNによると、想定される影響としては第三者による正規の機器へのなりすましが行われ、任意のコマンドを実行された結果、情報漏えいや改ざんなどが行われる可能性がある。JVNでは対策として、アップデートが提供されている製品シリーズおよびバージョンに関してはアップデートを適用するよう呼びかけている。また開発者によると、対策バージョンがリリースされていない、またはアップデートを適用できない場合は、当該製品をインターネットに接続する場合はファイアウォールや仮想プライベートネットワーク(VPN)等を使用する、当該製品はLAN内での使用に限定し信頼できないネットワークやホストからのアクセスを制限する、該当製品へアクセス可能なパソコンにウイルス対策ソフトを搭載する等の回避策を適用することで、本脆弱性の影響を軽減することが可能とのこと。
Microsoft Windows の Windows Update Orchestrator Service におけるCOM API への権限制御不備により管理者権限への昇格が可能となる脆弱性(Scan Tech Report)2020.9.10 Thu 8:10
