三菱電機製 MELSEC iQ-R シリーズにリソース枯渇の脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は9月14日、三菱電機製 MELSEC iQ-R シリーズにおけるリソース枯渇の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

脆弱性と脅威

2021.9.16 Thu 8:00

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は9月14日、三菱電機製 MELSEC iQ-R シリーズにおけるリソース枯渇の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

R00/01/02CPU ファームウェアバージョン "19" およびそれ以前
R04/08/16/32/120 (EN) CPU ファームウェアバージョン "51" およびそれ以前
R08/16/32/120SFCPU ファームウェアバージョン "22" およびそれ以前
R08/16/32/120PCPU ファームウェアバージョン "25" およびそれ以前
R08/16/32/120PSFCPU ファームウェアバージョン "06" およびそれ以前
RJ71EN71 ファームウェアバージョン "47" およびそれ以前
RJ71GF11-T2 ファームウェアバージョン "47" およびそれ以前
RJ72GF15-T2 ファームウェアバージョン "07" およびそれ以前
RJ71GP21-SX ファームウェアバージョン "47" およびそれ以前
RJ71GP21S-SX ファームウェアバージョン "47" およびそれ以前
RJ71C24 (-R2/R4) 全バージョン
RJ71GN11-T2 ファームウェアバージョン "11" およびそれ以前

　三菱電機株式会社が提供する MELSEC iQ-R シリーズのユニットには、リソース枯渇の脆弱性が存在し、遠隔の第三者によって細工された SLMP パケットを受信することで、CPU ユニットの場合はエラーが発生しプログラムの実行および通信がサービス運用妨害（DoS）状態となる、CPU ユニット以外の場合はユニット経由の通信がサービス運用妨害（DoS）状態となる可能性がある。

　下記製品に関してはアップデートが提供されており、下記以外の製品については、近日中にアップデートをリリース予定。

R00/01/02CPU ファームウェアバージョン "20" およびそれ以降
R04/08/16/32/120 (EN) CPU ファームウェアバージョン "52" およびそれ以降
R08/16/32/120SFCPU ファームウェアバージョン "23" およびそれ以降
R08/16/32/120PCPU ファームウェアバージョン "26" およびそれ以降
R08/16/32/120PSFCPU ファームウェアバージョン "07" およびそれ以降
RJ71EN71 ファームウェアバージョン "48" およびそれ以降
RJ71GF11-T2 ファームウェアバージョン "48" およびそれ以降
RJ72GF15-T2 ファームウェアバージョン "08" およびそれ以降
RJ71GP21-SX ファームウェアバージョン "48" およびそれ以降
RJ71GP21S-SX ファームウェアバージョン "48" およびそれ以降
RJ71GN11-T2 ファームウェアバージョン "12" およびそれ以降

　開発者では、対策バージョンがリリースされていない、アップデートを適用できない場合には、当該製品をインターネットに接続する場合にはファイアウォールや仮想プライベートネットワーク（VPN）などを使用する、当該製品を LAN 内での使用に限定し、信頼できないネットワークやホストからのアクセスを制限するなどの回避策を適用するよう呼びかけている。