JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は8月31日(米国時間)、「JVNVU#93926439: 複数の三菱電機製品の TCP プロトコルスタックにセッション管理不備の脆弱性」において、三菱電機の複数製品のTCPプロトコルスタックに、セッション管理の不備に起因する脆弱性が存在すると伝えた。この脆弱性を攻撃者に悪用されると、正規の機器になりすまして任意のコマンドを実行される危険性があるという。

JVNVU#93926439: 複数の三菱電機製品の TCP プロトコルスタックにセッション管理不備の脆弱性

脆弱性に関する情報は、開発元による次の文書(PDFファイル)にまとめられている。

当社製品のTCP プロトコルスタックにおけるなりすましの脆弱性について

前述のように、この脆弱性はTCPプロトコルスタックにおけるセッション管理の不備に起因するもので、正規の機器になりすまして任意のコードを実行することが可能となる。その結果、情報の漏えいや情報の破壊・改竄などの被害を受ける危険性がある。

影響を受けるプロダクトは以下のとおりとなっている。

シーケンサ MELSEC

データ収集アナライザ MELQIC IU1-1M20-D

テンションコントローラ LE7-40GU-L

表示器 GOT

インバータ FREQROL

ロボット MELFA

AC サーボ MELSERVO

三菱省エネデマンド監視サーバ E-Energy

具体的なシリーズやバージョン、および対策方法については、開発元による上記の文書を確認していただきたい。

この脆弱性のCVSS v3スコアは7.3で、深刻度「重要」に分類されている。JPCERT/CCでは、開発元が提供する情報を確認した上で、必要な対策を実施することを推奨している。