JVNVU#93054759
Mitsubishi Electric Europe B.V.製smartRTUおよびINEA製ME-RTUにおける複数の脆弱性

Mitsubishi Electric Europe B.V.が提供するsmartRTUおよびINEAが提供するME-RTUには、複数の脆弱性が存在します。

• smartRTUおよびME-RTU：ファームウェアバージョン3.3より前のすべてのバージョン

Mitsubishi Electric Europe B.V.が提供するsmartRTUおよびINEAが提供するME-RTUには、次の複数の脆弱性が存在します。

• OS コマンドインジェクション（CWE-78）- CVE-2019-14931

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 不適切なアクセス制御（CWE-284）- CVE-2019-14927

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 7.5

• クロスサイトスクリプティング（CWE-79）- CVE-2019-14928

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

  基本値: 5.4

• ハードコードされた認証情報の使用（CWE-798）- CVE-2019-14926、CVE-2019-14930

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 認証情報の平文保存（CWE-256）- CVE-2019-14929

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 不適切なデフォルトパーミッション（CWE-276）- CVE-2019-14925

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

  基本値: 6.5

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、任意のコマンドを実行される - CVE-2019-14931
• 遠隔の第三者によって、機密情報を含む製品の構成ファイルをダウンロードされる - CVE-2019-14927
• 遠隔の悪意あるユーザによって、製品のWeb構成ソフトウェアに格納型クロスサイトスクリプティングにつながる不正なデータを挿入される - CVE-2019-14928
• 遠隔の第三者によって、ファームウェアから確認可能なハードコードされた製品共通のSSH鍵を、影響を受ける別の製品の攻撃に悪用される - CVE-2019-14926
• 遠隔の第三者によって、ハードコードされたパスワードを持つ、ドキュメントに記載されていないユーザアカウントで製品にログインされる - CVE-2019-14930
• 遠隔の第三者によって、構成ファイル内に平文で記載されたパスワードを使われ、特定のサービスへアクセスされる - CVE-2019-14929
• ユーザによって、ユーザ名と平文パスワードの組み合わせなどの機密情報を含む構成ファイルを読み取られる - CVE-2019-14925

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
INEAは本脆弱性を修正したファーウェアバージョン3.3およびそれ以降をリリースしています。
Mitsubishi Electric Europe B.V.もINEA ME RTU向け修正ファームウェアを使用したアップデートを推奨しています。