複数の三菱電機製 CPU ユニットにリソース枯渇の脆弱性

最終更新日: 2019/11/21

情報源

Japan Vulnerability Notes JVNVU#97094124
三菱電機製 MELSEC-Qシリーズ CPU ユニットおよび MELSEC-L シリーズ CPU ユニットの FTP サーバ機能にリソース枯渇の脆弱性
https://jvn.jp/vu/JVNVU97094124/

概要

三菱電機株式会社が提供する MELSEC-Q シリーズ CPU ユニットおよび MELSEC-Lシリーズ CPU ユニットの FTP サーバ機能には、リソース枯渇の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となる製品およびバージョンは次のとおりです。

MELSEC-Q シリーズ CPU ユニット
– Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU (シリアル番号の上位5桁が 21081 およびそれ以前)
– Q03/04/06/13/26UDVCPU (シリアル番号の上位5桁が 21081 およびそれ以前)
– Q04/06/13/26UDPVCPU (シリアル番号の上位5桁が 21081 およびそれ以前)

MELSEC-L シリーズ CPU ユニット

– L02/06/26CPU, L26CPU-BT (シリアル番号の上位5桁が 21101 およびそれ以前)
– L02/06/26CPU-P, L26CPU-PBT (シリアル番号の上位5桁が 21101 およびそれ以前)
– L02/06/26CPU-CM, L26CPU-BT-CM (シリアル番号の上位5桁が 21101 およびそれ以前)

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョンに更新することで解決します。詳細については、三菱電機株式会社が提供する情報を参照してください。

関連文書 (日本語)

三菱電機株式会社
MELSEC-QシリーズCPU、およびMELSEC-LシリーズCPUにおけるFTPサーバ機能の脆弱性 (PDF)
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2019-002.pdf

関連文書 (英語)

ICS Advisory (ICSA-19-311-01)
Mitsubishi Electric MELSEC-Q Series and MELSEC-L Series CPU Modules
https://www.us-cert.gov/ics/advisories/icsa-19-311-01

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-20」
https://www.jpcert.or.jp/wr/2019/wr194501.html