公開日:2021/10/05 最終更新日:2022/04/07
JVNVU#99532713
(訂正)三菱電機製GOTおよびテンションコントローラのTCP/IPプロトコルスタックにおける複数の脆弱性
(2022年4月7日追記)
当該製品に含まれているコンポーネントに対する脆弱性報告は誤りであったとのことです。
三菱電機株式会社が提供するGOTおよびテンションコントローラのTCP/IPプロトコルスタックには、複数の脆弱性が存在します。
表示器:GOTGOT2000シリーズ GT21モデルGT2107-WTBD 全バージョンGT2107-WTSD 全バージョンGT2104-RTBD 全バージョンGT2104-PMBD 全バージョンGT2103-PMBD 全バージョン
GOT SIMPLEシリーズ GS21モデルGS2110-WTBD 全バージョンGS2107-WTBD 全バージョンGS2110-WTBD-N 全バージョンGS2107-WTBD-N 全バージョン
テンションコントローラLE7-40GU-L 全バージョン
(2022年4月7日追記)
当該製品に含まれているコンポーネントに対する脆弱性報告は誤りであったとのことです。
三菱電機株式会社が提供するGOTおよびテンションコントローラのTCP/IPプロトコルスタックには、次の複数の脆弱性が存在します。
例外的な状態における不適切な処理 (CWE-755) - CVE-2021-20602CVSS v3CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H基本値: 7.5不適切な入力値検証 (CWE-20) - CVE-2021-20603, CVE-2021-20604, CVE-2021-20605CVSS v3CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H基本値: 7.5
遠隔の第三者によって細工されたパケットを受信することで、GOTおよびテンションコントローラがサービス運用妨害(DoS)状態となる可能性があります。
ワークアラウンドを実施する
アップデートが提供されるまでの間、次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
開発者によると、本脆弱性に対するアップデートは、近日中にリリースするとのことです。
当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用する当該製品を LAN 内で使用し、信頼できないネットワークやホストからのアクセスをファイアウォールでブロックするIP フィルタ機能を使用し、接続可能な IP アドレスを適切に制限する
(2022年4月7日追記)
開発者によると、本脆弱性情報公表後に継続していた調査の結果、本脆弱性の起因となるコンポーネントにおける脆弱性は存在しないことが判明したとのことです。これを受け、本JVNアドバイザリの記載内容を訂正更新しました。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
- 2021/10/06
- [参考情報]にICS Advisoryのリンクを追加しました。
- 2022/04/07
- 三菱電機株式会社のベンダステータスが更新されました
- 2022/04/07
- 本件が誤りであった旨を追記し、更新しました
