United States Computer Emergency Readiness Team (US-CERT)は6月30日(現地時間)、「Mitsubishi Electric Factory Automation Engineering Software Products|CISA」において、三菱電機のFA (Factory Automation) エンジニアリング・ソフトウェアに複数の脆弱性が存在すると伝えた。

これら脆弱性を悪用されると、該当のソフトウェア製品が動作しているコンピュータで、ユーザー権限でアクセス可能な任意のファイルが外部に送信されたり、サービス拒否(DoS)状態に陥ったりする危険性がある。

Mitsubishi Electric Factory Automation Engineering Software Products | CISA

脆弱性に関する情報は、三菱電機による次の文書(PDF)にまとめられている。

複数のFAエンジニアリングソフトウェア製品におけるXML処理の不備に起因する脆弱性

報告によれば、対象の脆弱性はXML処理の不備に起因するもので、具体的には次の2つの問題を含んでいるという。

XML外部実体参照 (XXE) (CWE-611) - CVE-2020-5602

リソースの枯渇 (CWE-400) - CVE-2020-5603

対象となるプロダクトおよびバージョンは以下の通り。

CPU ユニットロギング設定ツール Ver. 1.94Y 以前

CW Configurator Ver. 1.010L 以前

EM Software Development Kit (EM Configurator) Ver. 1.010L 以前

GT Designer3(GOT2000) Ver. 1.221F 以前

GX LogViewer Ver. 1.96A 以前

GX Works2 Ver. 1.586L 以前

GX Works3 Ver. 1.058L 以前

M_CommDTM-HART Ver. 1.00A

M_CommDTM-IO-Link Ver. 1.02C 以前

MELFA-Works Ver. 4.3 以前

MELSEC-L フレキシブル高速 I/O 制御ユニット設定ツール Ver.1.004E 以前

MELSOFT FieldDeviceConfigurator Ver. 1.03D 以前

MELSOFT iQ AppPortal Ver. 1.11M 以前

MELSOFT Navigator Ver. 2.58L 以前

MI Configurator Ver. 1.003D 以前

モーション制御設定 Ver. 1.005F 以前

MR Configurator2 Ver. 1.72A 以前

MT Works2 Ver. 1.156N 以前

RT ToolBox2 Ver. 3.72A 以前

RT ToolBox3 Ver. 1.50C 以前

開発元からはすでに対策を施したソフトゥエアの提供が行われており、早急にアップデートすることが推奨されている。該当する脆弱性が修正済みのプロダクトおよびバージョンは次のとおり。

CPU ユニットロギング設定ツール Ver. 1.100E 以降

CW Configurator Ver. 1.011M 以降

EM Software Development Kit (EM Configurator) Ver. 1.015R 以降

GT Designer3(GOT2000) Ver. 1.225K 以降

GX LogViewer Ver. 1.100E 以降

GX Works2 Ver. 1.590Q 以降

GX Works3 Ver. 1.060N 以降

M_CommDTM-HART Ver. 1.01B 以降

M_CommDTM-IO-Link Ver. 1.03D 以降

MELFA-Works Ver. 4.4 以降

MELSEC-L フレキシブル高速 I/O 制御ユニット設定ツール Ver.1.005F 以降

MELSOFT FieldDeviceConfigurator Ver. 1.04E 以降

MELSOFT iQ AppPortal Ver. 1.14Q 以降

MELSOFT Navigator Ver. 2.62Q 以降

MI Configurator Ver. 1.004E 以降

モーション制御設定 Ver. 1.006G 以降

MR Configurator2 Ver. 1.100E 以降

MT Works2 Ver. 1.160S 以降

RT ToolBox2 Ver. 3.73B 以降

RT ToolBox3 Ver. 1.60N 以降

すぐに製品をアップデートできない場合、リスクを最小限に抑えるため、使用するプロジェクトファイルや設定ファイルの入手経路を確認することや、該当する製品を管理者権限を持たないアカウントで実行する、制御システムデバイスやシステム本体のネットワークへの接続を最小限に抑えるなどといった軽減策を取るこが推奨されている。