公開日:2021/10/08 最終更新日:2021/10/08

JVNVU#93417317
複数のMobile Industrial Robots製品における複数の脆弱性

概要

複数のMobile Industrial Robots製品には、複数の脆弱性が存在します。

影響を受けるシステム

  • MiR Robot Software内のMiR100、MiR200、MiR250、MiR500、MiR1000 2.10.2.1より前のバージョン
  • MiR Fleet Software内のMiR Fleet 2.10.2.1より前のバージョン

詳細情報

複数のMobile Industrial Robots製品には、次の複数の脆弱性が存在します。

  • 不適切なアクセス制御(CWE-284)- CVE-2017-7184
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
  • 整数オーバーフローまたはラップアラウンド(CWE-190)- CVE-2017-18255
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
  • 誤った領域へのリソースの漏えい(CWE-668)- CVE-2020-10271
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • 重要な機能に対する認証欠如(CWE-306)- CVE-2020-10272
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8
  • 重要なデータの暗号化の欠如(CWE-311)- CVE-2020-10273
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 6.2
  • 不適切なアクセス制御(CWE-284)- CVE-2020-10276
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8
  • 不適切なアクセス制御(CWE-284)- CVE-2020-10277
    CVSS v3 CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H 基本値: 6.4
  • 不適切なアクセス制御(CWE-284)- CVE-2020-10278
    CVSS v3 CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値: 4.6
  • 不適切なデフォルトパーミッション(CWE-276)- CVE-2020-10279
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.4
  • 不完全な要素の処理の失敗(CWE-239)- CVE-2020-10280
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • ユーザによって、rootへ権限昇格されたり、サービス運用妨害(DoS)状態にされる - CVE-2017-7184
  • ユーザによって、サービス運用妨害(DoS)状態にされる - CVE-2017-18255
  • 遠隔の第三者によって、サービス運用妨害(DoS)状態にされたり、情報を取得されたりする - CVE-2020-10271
  • 第三者によって、製品を制御される - CVE-2020-10272
  • 第三者によって、機密情報を取得される - CVE-2020-10273
  • 第三者によって、緊急停止機能を無効にされる - CVE-2020-10276
  • 第三者によって、製品のハードドライブに保存されているデータを操作されたり、取得されたりする - CVE-2020-10277
  • 第三者によって、BIOSの設定を変更される - CVE-2020-10278
  • 攻撃者によって、権限昇格されたり、サービス運用妨害(DoS)状態にされる - CVE-2020-10279
  • 遠隔の第三者によって、サービス運用妨害(DoS)状態にされる - CVE-2020-10280

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
最新バージョンに関しては、MiR Distributor portal(要ログイン)をご確認ください。
詳細は、MiR’s security advisories pageを参照してください。

ワークアラウンドを実施する
Mobile Industrial Robotsは、SSIDやWiFiアクセスポイントへのパスワードなど、デフォルトのクレデンシャルを明示的に変更すること推奨しています。

ベンダ情報

ベンダ リンク
Mobile Industrial Robots (MiR) Security Advisories
MiR Distributor portal(要ログイン)

参考情報

  1. ICS Advisory (ICSA-21-280-02)
    Mobile Industrial Robots Vehicles and MiR Fleet Software

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia