製品・ソフトウェアに関する情報

JVN脆弱性詳細

三菱電機製 GT Designer3、GOT2000 シリーズ、GOT SIMPLE シリーズおよび GT SoftGOT2000 における不十分なパスワード保護の脆弱性

Title	三菱電機製 GT Designer3、GOT2000 シリーズ、GOT SIMPLE シリーズおよび GT SoftGOT2000 における不十分なパスワード保護の脆弱性
Summary	三菱電機株式会社が提供する GT Designer3、GOT2000 シリーズ、GOT SIMPLE シリーズおよび GT SoftGOT2000 のデータ転送セキュリティ機能では、通信パケット中に含まれるパスワードを保護するために一定の符号化を行っています。しかし、この符号化処理は元データを容易に復元可能です (CWE-261、CVE-2023-0525)。この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
Possible impacts	通信パケットを盗聴された場合、符号化されたデータから元のパスワードを窃取される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとにファームウェアをアップデートしてください。ファームウェアの入手方法およびアップデート方法は製品により異なります。詳しくは、<a href="https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2023-008.pdf"target="blank">開発者が提供する情報</a>を確認してください。 [ワークアラウンドを実施する] 次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。　* 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用し、不正アクセスを防止する　* 当該製品を LAN 内で使用し、信頼できないネットワークやホストからアクセスできないようにする　* 当該製品が接続されたネットワークへの物理的なアクセスを防止する　* IP フィルタ機能 (1) を使用し、接続可能な IP アドレスを制限する (1) GT Designer3 (GOT2000) 画面設計マニュアル (SH-081219) 「5.4.3 章 IP フィルタを設定する」を参照詳しくは、<a href="https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2023-008.pdf"target="blank">開発者が提供する情報</a>を確認してください。
Publication Date	Aug. 4, 2023, midnight
Registration Date	Aug. 7, 2023, 11:14 a.m.
Last Update	Aug. 7, 2023, 11:14 a.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Affected System

三菱電機

GOT SIMPLE (ハードウェア製品)

GOT2000 (ハードウェア製品)

GT Designer3 Version1 (GOT2000) (ソフトウェア製品)

GT SoftGOT2000 (ソフトウェア製品)

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2023-0525	https://www.cve.org/CVERecord?id=CVE-2023-0525
National Vulnerability Database (NVD)
2	CVE-2023-0525	https://nvd.nist.gov/vuln/detail/CVE-2023-0525

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-261	https://cwe.mitre.org/data/definitions/261.html

ベンダー情報

No	Name	URL
三菱電機株式会社
1	GT Designer3、GOT2000シリーズ、GOT SIMPLE シリーズおよび GT SoftGOT2000 のデータ転送セキュリティ機能における情報漏えいの脆弱性	https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2023-008.pdf

その他

No	Name	URL
ICS-CERT ADVISORY
1	ICSA-23-215-02	https://www.cisa.gov/news-events/ics-advisories/icsa-23-215-02
JVN
2	JVNVU#95285923	http://jvn.jp/vu/JVNVU95285923/index.html

Change Log

No	Changed Details	Date of change
1	[2023年08月07日] 掲載	Aug. 7, 2023, 11:14 a.m.

NVD Vulnerability Information

CVE-2023-0525

Summary	Weak Encoding for Password vulnerability in Mitsubishi Electric Corporation GOT2000 Series GT27 model versions 01.49.000 and prior, GT25 model versions 01.49.000 and prior, GT23 model versions 01.49.000 and prior, GT21 model versions 01.49.000 and prior, GOT SIMPLE Series GS25 model versions 01.49.000 and prior, GS21 model versions 01.49.000 and prior, GT Designer3 Version1 (GOT2000) versions 1.295H and prior and GT SoftGOT2000 versions 1.295H and prior allows a remote unauthenticated attacker to obtain plaintext passwords by sniffing packets containing encrypted passwords and decrypting the encrypted passwords, in the case of transferring data with GT Designer3 Version1(GOT2000) and GOT2000 Series or GOT SIMPLE Series with the Data Transfer Security function enabled, or in the case of transferring data by the SoftGOT-GOT link function with GT SoftGOT2000 and GOT2000 series with the Data Transfer Security function enabled.
Publication Date	Aug. 4, 2023, 9:15 a.m.
Registration Date	Aug. 4, 2023, 4 p.m.
Last Update	Nov. 21, 2024, 4:37 p.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:mitsubishielectric:gt_designer3::::::::				1.300n
cpe:2.3:a:mitsubishielectric:gt_softgot2000::::::::				1.300n

Configuration2		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gt27_firmware::::::::					01.50.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gt27:-:::::::*

Configuration3		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gt25_firmware::::::::					01.50.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gt25:-:::::::*

Configuration4		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gt23_firmware::::::::					01.50.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gt23:-:::::::*

Configuration5		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gt21_firmware::::::::					01.50.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gt21:-:::::::*

Configuration6		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gs25_firmware::::::::					01.50.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gs25:-:::::::*

Configuration7		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gs21_firmware::::::::					01.50.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gs21:-:::::::*

Related information, measures and tools

No	URL	タグ
1	https://jvn.jp/vu/JVNVU95285923/index.html	Third Party Advisory
2	https://jvn.jp/vu/JVNVU95285923/index.html	Third Party Advisory
3	https://www.cisa.gov/news-events/ics-advisories/icsa-23-215-02	Third Party Advisory US Government Resource
4	https://www.cisa.gov/news-events/ics-advisories/icsa-23-215-02	Third Party Advisory US Government Resource
5	https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-008_en.pdf	Vendor Advisory
6	https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-008_en.pdf	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-326	不適切な暗号強度	https://cwe.mitre.org/data/definitions/326.html