MELSEC iQ-R シリーズにリソース枯渇の脆弱性

最終更新日: 2020/11/27

情報源

Japan Vulnerability Notes JVNVU#95980140
三菱電機製 MELSEC iQ-R シリーズにおけるリソース枯渇の脆弱性
https://jvn.jp/vu/JVNVU95980140/

概要

MELSEC iQ-R シリーズには、リソース枯渇の脆弱性があります。結果として、遠隔の第三者が、細工した SLMP パケットを送信することで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となる製品およびバージョンは次のとおりです。

– R00/01/02CPU ファームウェアバージョン “19” およびそれ以前
– R04/08/16/32/120 (EN) CPU ファームウェアバージョン “51” およびそれ以前
– R08/16/32/120SFCPU ファームウェアバージョン “22” およびそれ以前
– R08/16/32/120PCPU すべてのバージョン
– R08/16/32/120PSFCPU すべてのバージョン
– RJ71EN71 ファームウェアバージョン “47” およびそれ以前
– RJ71GF11-T2 ファームウェアバージョン “47” およびそれ以前
– RJ72GF15-T2 ファームウェアバージョン “07” およびそれ以前
– RJ71GP21-SX ファームウェアバージョン “47” およびそれ以前
– RJ71GP21S-SX ファームウェアバージョン “47” およびそれ以前
– RJ71C24 (-R2/R4) すべてのバージョン
– RJ71GN11-T2 すべてのバージョン

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョンに更新することで解決します。なお、対策バージョンがリリースされていない場合や、アップデートが適用できない場合には、次の回避策を適用することで脆弱性の影響を軽減することが可能です。
– 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) などを使用する

– 当該製品を LAN 内での使用に限定し、信頼できないネットワークやホストからのアクセスを制限する

詳細は、三菱電機株式会社が提供する情報を参照してください。

関連文書(日本語)

三菱電機株式会社

MELSEC iQ-RシリーズのEthernetポートにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-016.pdf

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-11-26」
https://www.jpcert.or.jp/wr/2020/wr204601.html