三菱電機製 MELSEC iQ-R シリーズにリソース枯渇の脆弱性 | ScanNetSecurity
2024.03.19(火)

三菱電機製 MELSEC iQ-R シリーズにリソース枯渇の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月14日、三菱電機製 MELSEC iQ-R シリーズにおけるリソース枯渇の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月14日、三菱電機製 MELSEC iQ-R シリーズにおけるリソース枯渇の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

R00/01/02CPU ファームウェアバージョン "19" およびそれ以前
R04/08/16/32/120 (EN) CPU ファームウェアバージョン "51" およびそれ以前
R08/16/32/120SFCPU ファームウェアバージョン "22" およびそれ以前
R08/16/32/120PCPU ファームウェアバージョン "25" およびそれ以前
R08/16/32/120PSFCPU ファームウェアバージョン "06" およびそれ以前
RJ71EN71 ファームウェアバージョン "47" およびそれ以前
RJ71GF11-T2 ファームウェアバージョン "47" およびそれ以前
RJ72GF15-T2 ファームウェアバージョン "07" およびそれ以前
RJ71GP21-SX ファームウェアバージョン "47" およびそれ以前
RJ71GP21S-SX ファームウェアバージョン "47" およびそれ以前
RJ71C24 (-R2/R4) 全バージョン
RJ71GN11-T2 ファームウェアバージョン "11" およびそれ以前

 三菱電機株式会社が提供する MELSEC iQ-R シリーズのユニットには、リソース枯渇の脆弱性が存在し、遠隔の第三者によって細工された SLMP パケットを受信することで、CPU ユニットの場合はエラーが発生しプログラムの実行および通信がサービス運用妨害(DoS)状態となる、CPU ユニット以外の場合はユニット経由の通信がサービス運用妨害(DoS)状態となる可能性がある。

 下記製品に関してはアップデートが提供されており、下記以外の製品については、近日中にアップデートをリリース予定。

R00/01/02CPU ファームウェアバージョン "20" およびそれ以降
R04/08/16/32/120 (EN) CPU ファームウェアバージョン "52" およびそれ以降
R08/16/32/120SFCPU ファームウェアバージョン "23" およびそれ以降
R08/16/32/120PCPU ファームウェアバージョン "26" およびそれ以降
R08/16/32/120PSFCPU ファームウェアバージョン "07" およびそれ以降
RJ71EN71 ファームウェアバージョン "48" およびそれ以降
RJ71GF11-T2 ファームウェアバージョン "48" およびそれ以降
RJ72GF15-T2 ファームウェアバージョン "08" およびそれ以降
RJ71GP21-SX ファームウェアバージョン "48" およびそれ以降
RJ71GP21S-SX ファームウェアバージョン "48" およびそれ以降
RJ71GN11-T2 ファームウェアバージョン "12" およびそれ以降

 開発者では、対策バージョンがリリースされていない、アップデートを適用できない場合には、当該製品をインターネットに接続する場合にはファイアウォールや仮想プライベートネットワーク(VPN)などを使用する、当該製品を LAN 内での使用に限定し、信頼できないネットワークやホストからのアクセスを制限するなどの回避策を適用するよう呼びかけている。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×