NVD Vulnerability Detail
Search Exploit, PoC
CVE-2021-20600
Summary

Uncontrolled resource consumption in Mitsubishi Electric MELSEC iQ-R series C Controller Module R12CCPU-V Firmware Versions "16" and prior allows a remote unauthenticated attacker to cause a denial-of-service (DoS) condition by sending a large number of packets in a short time while the module starting up. System reset is required for recovery.

Publication Date Oct. 9, 2021, 2:15 a.m.
Registration Date Oct. 9, 2021, 10 a.m.
Last Update Nov. 21, 2024, 2:46 p.m.
CVSS3.1 : MEDIUM
スコア 5.9
Vector CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C) なし
完全性への影響(I) なし
可用性への影響(A)
CVSS2.0 : HIGH
Score 7.1
Vector AV:N/AC:M/Au:N/C:N/I:N/A:C
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C) なし
完全性への影響(I) なし
可用性への影響(A)
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges いいえ
User operation required いいえ
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:o:mitsubishielectric:r12ccpu-v_firmware:*:*:*:*:*:*:*:* 16
execution environment
1 cpe:2.3:h:mitsubishielectric:r12ccpu-v:-:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
三菱電機製 MELSEC iQ-R シリーズ C 言語コントローラユニットにおけるリソース枯渇の脆弱性
Title 三菱電機製 MELSEC iQ-R シリーズ C 言語コントローラユニットにおけるリソース枯渇の脆弱性
Summary

三菱電機株式会社が提供する MELSEC iQ-R シリーズ C 言語コントローラユニットには、リソース枯渇の脆弱性(CWE-400、CVE-2021-20600)が存在します。 この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

Possible impacts C 言語コントローラユニットの起動中に、遠隔の第三者から短時間に大量のパケットを送信されると、システム WDT エラーが発生してC言語コントローラユニットが起動しなくなる可能性があります。なお、復旧にはシステムのリセットが必要です。 開発者によると、これは C 言語コントローラユニットの起動中に短時間で大量のパケットを受信した場合にのみ発生する現象であり、正常起動後には発生しないとのことです。 詳しくは、<a href="https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-015.pdf" target="blank">開発者が提供する情報</a>をご確認ください。 
Solution

[アップデートする] 開発者が提供する情報をもとに、ファームウェアをアップデートしてください。 開発者は本脆弱性に対応した次のファームウェアバージョンを提供しています。  * R12CCPU-V ファームウェアバージョン"17"およびそれ以降 [ワークアラウンドを実施する] アップデートが提供されるまでの間、次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 開発者によると、本脆弱性に対するアップデートは、準備が整い次第リリースするとのことです。  * C 言語コントローラユニットの起動中にシステム WDT エラーが発生した場合は、C 言語コントローラユニットの LAN ケーブルを抜き起動する。C 言語コントローラユニットの正常起動を確認した後に、再度 LAN ケーブルを接続する。 開発者によると、上記エラーの発生有無に関わらず、次の回避策を適用することを推奨するとのことです。  * 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用する  * 当該製品を LAN 内で使用し、信頼できないネットワークやホストからのアクセスをファイアウォールでブロックする 詳しくは、<a href="https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-015.pdf" target="blank">開発者が提供する情報</a>をご確認ください。

Publication Date Oct. 7, 2021, midnight
Registration Date Oct. 8, 2021, 1:43 p.m.
Last Update July 8, 2022, 1:52 p.m.
Affected System
三菱電機
R12CCPU-V ファームウェア バージョン "16" およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
3 [2021年10月29日]
  想定される影響:内容を更新		 Oct. 29, 2021, 10:21 a.m.
2 [2021年10月15日]
  参考情報:ICS-CERT ADVISORY (ICSA-21-280-04) を追加		 Oct. 15, 2021, 2:43 p.m.
1 [2021年10月08日]   掲載 Oct. 8, 2021, 11:30 a.m.
4 [2022年07月08日]
  影響を受けるシステム:内容を更新
  対策:内容を更新
  参考情報:National Vulnerability Database (NVD) (CVE-2021-20600) を追加		 July 8, 2022, 1:50 p.m.