製品・ソフトウェアに関する情報
Vulnerability Search
三菱電機製 GX Works2 における長さパラメータの不整合時の不適切な取り扱いに関する脆弱性
Title 三菱電機製 GX Works2 における長さパラメータの不整合時の不適切な取り扱いに関する脆弱性
Summary

三菱電機株式会社が提供する GX Works2 には、長さパラメータの不整合時の不適切な取り扱いに関する脆弱性(CWE-130、CVE-2021-20608)が存在します。 この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

Possible impacts 遠隔の第三者によって細工された不正なパケットを三菱電機製シーケンサへ送信され、改ざんされたシーケンサ内のプログラムファイルを GX Works2 が読み込むと、GX Works2 がサービス運用妨害(DoS)状態となる可能性があります。 開発者によると、本脆弱性によるシーケンサの誤動作は発生しないとのことです。 
Solution

[アップデートする] 開発者が提供する情報をもとに、Ver.1.610L およびそれ以降にアップデートしてください。 アップデートは、<a href="https://www.mitsubishielectric.co.jp/fa/download/index.html" target="blank">こちら</a>から入手してください。 [ワークアラウンドを実施する] 次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。  * 制御システムデバイスやシステムのネットワークへの接続を制限し、信頼できないネットワークやホストからアクセスできないようにする  * 制御システムネットワークとリモートデバイスをファイアウォールで防御し、OAネットワークから分離する  * 三菱電機製シーケンサへのリモートアクセスが必要な場合は、仮想プライベートネットワーク(VPN)等を使用する 詳しくは、<a href="https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-020.pdf" target="blank">開発者が提供する情報</a>をご確認ください。

Publication Date Dec. 16, 2021, midnight
Registration Date Dec. 17, 2021, 3:02 p.m.
Last Update Dec. 24, 2021, 2:32 p.m.
CVSS3.0 : 警告
Score 5.3
Vector CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:H
Affected System
三菱電機
GX Works2 Ver.1.606G およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2021年12月17日]   掲載 Dec. 17, 2021, 2:03 p.m.
2 [2021年12月24日]
  参考情報:ICS-CERT ADVISORY (ICSA-21-350-04) を追加		 Dec. 24, 2021, 2:31 p.m.
NVD Vulnerability Information
CVE-2021-20608
Summary

Improper Handling of Length Parameter Inconsistency vulnerability in Mitsubishi Electric GX Works2 versions 1.606G and prior allows a remote unauthenticated attacker to cause a DoS condition in GX Works2 by getting GX Works2 to read a tampered program file from a Mitsubishi Electric PLC by sending malicious crafted packets to tamper with the program file.

Publication Date Dec. 18, 2021, 2:15 a.m.
Registration Date Dec. 18, 2021, 10 a.m.
Last Update Nov. 21, 2024, 2:46 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:mitsubishielectric:gx_works2:*:*:*:*:*:*:*:* 1.606g
Related information, measures and tools
Common Vulnerabilities List