三菱電機製空調管理システムに複数の脆弱性 | ScanNetSecurity
2021.07.29(木)

三菱電機製空調管理システムに複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月1日、三菱電機製空調管理システムにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月1日、三菱電機製空調管理システムにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

XML 外部実体参照 (XXE) の不適切な制限に関する脆弱性
・空調管理システム/集中コントローラ―
 G-50 Ver.3.35 およびそれ以前
 G-50-W Ver.3.35 およびそれ以前
 GB-50 Ver.3.35 およびそれ以前
 G-150AD Ver.3.20 およびそれ以前
 GB-50AD Ver.3.20 およびそれ以前
 AE-200J Ver.7.93 およびそれ以前
 AE-50J Ver.7.93 およびそれ以前
 EW-50J Ver.7.93 およびそれ以前
・空調管理システム/拡張コントローラー
 PAC-YG50EC Ver.2.20 およびそれ以前
・空調管理システム/BMアダプター
 PAC-YW01BAC Ver.5.13 およびそれ以前
 PAC-YW51BAC Ver.8.11 およびそれ以前

WEB 機能の認証アルゴリズムの不適切な実装に関する脆弱性
・空調管理システム/集中コントローラー
 G-50 Ver.2.50 から 3.35 まで
 G-50-W Ver.2.50 から 3.35 まで
 GB-50 Ver.2.50 から 3.35 まで
 G-150AD Ver.3.20 およびそれ以前
 GB-50AD Ver.3.20 およびそれ以前
 AE-200J Ver.7.93 およびそれ以前
 AE-50J Ver.7.93 およびそれ以前
 EW-50J Ver.7.93 およびそれ以前
・空調管理システム/拡張コントローラー
 PAC-YG50EC Ver.2.20 およびそれ以前

 三菱電機製空調管理システムには、XML 外部実体参照 (XXE) の不適切な制限に関する脆弱性が存在し、遠隔の第三者によって細工された不正なパケットを当該製品が受信すると、当該機器内部の一部の情報が漏えいしたり、当該機器がサービス運用妨害(DoS)状態になったりする可能性がある。

 また、三菱電機製空調管理システムの WEB 機能には、認証アルゴリズムの不適切な実装に関する脆弱性が存在し、当該製品の WEB 機能にログイン可能な遠隔の第三者によって、権限昇格により当該製品の管理者権限で操作され、その結果、当該空調管理システムの設定情報を取得されたり、空調機器の運転操作や設定値といった設定情報を改ざんされたりする可能性がある。

 JVNでは各製品および型番に対応したアップデートを適用するか、以下の回避策を適用し脆弱性の影響を軽減するよう呼びかけている。

・インターネット等の外部ネットワークへ接続する場合は、VPN ルーター等を使用する
・該当製品へアクセス可能なパソコンにウイルス対策ソフトを搭載する
・該当製品へのアクセスを、信頼できるネットワークやホストからのアクセスのみに制限する
・工場出荷時のユーザー名とパスワードを変更する
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×