製品・ソフトウェアに関する情報
脆弱性検索
三菱電機製 MELSEC iQ-R シリーズ CPU ユニットにおける複数の脆弱性
タイトル 三菱電機製 MELSEC iQ-R シリーズ CPU ユニットにおける複数の脆弱性
概要

三菱電機株式会社が提供する MELSEC iQ-R シリーズ CPU ユニットには、次の複数の脆弱性が存在します。 *情報漏えい (CWE-200) - CVE-2021-20594 *不十分な認証情報の保護 (CWE-522) - CVE-2021-20597 *アカウントロックアウト機構の過度な制限 (CWE-645) - CVE-2021-20598 *ユーザ制御の鍵による認証回避の脆弱性(CWE-639)- CVE-2021-20599 この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

想定される影響 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。   * 遠隔の第三者によって CPU ユニット内に格納される正規ユーザ名が窃取される。 - CVE-2021-20594    開発者によると、CPU ユニットへのログインにはパスワードも必要なため、ユーザ名を窃取されただけでは CPU ユニットへのログインはできないとのことです。  * 正規ユーザによる CPU ユニットへのユーザ情報登録時もしくはパスワード変更時に、遠隔の第三者によってその通信が傍受され認証情報を窃取される。その結果、窃取した認証情報を使い CPU ユニットに不正にログインされる。 - CVE-2021-20597  * 遠隔の第三者によって正規ユーザの誤ったパスワードを連続して入力されると、アカウントロック機能によって、正規ユーザが当該製品にログインできなくなる。 - CVE-2021-20598  * 遠隔の第三者が正規ユーザのパスワード以外の認証情報を取得しそれを使用することで、CPU ユニットへ不正にログインする。 - CVE-2021-20599 
対策

[ワークアラウンドを実施する] アップデートが提供されるまでの間、次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 開発者によると、CVE-2021-20594、CVE-2021-20597、および CVE-2021-20599 の脆弱性に対するアップデートは、近日中にリリースするとのことです。  * 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用する  * 当該製品を LAN 内で使用し、信頼できないネットワークやホストからのアクセスをファイアウォールでブロックする  * IP フィルタ機能を使用し、接続可能な IP アドレスを適切に制限する   IP フィルタ機能に関する詳細は、開発者が提供する「MELSEC iQ-R Ethernet ユーザーズマニュアル(応用編) セキュリティの「IP フィルタ」」を参照してください。  * ユーザ情報の登録やパスワード変更をする際は、USB 経由で実施する。ネットワーク経由で既にユーザ登録やパスワード変更を行った場合は、改めて USB 経由でパスワードを再変更する   この回避策は、CVE-2021-20597 の脆弱性に対してのみ有効なものです。
公表日 2021年8月5日0:00
登録日 2021年8月6日14:53
最終更新日 2021年10月18日15:29
CVSS3.0 : 緊急
スコア 9.1
ベクター CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
影響を受けるシステム
三菱電機
R08 PSFCPU ファームウェア 全バージョン
R08 SFCPU ファームウェア 全バージョン
R120 PSFCPU ファームウェア 全バージョン
R120 SFCPU ファームウェア 全バージョン
R16 PSFCPU ファームウェア 全バージョン
R16 SFCPU ファームウェア 全バージョン
R32 PSFCPU ファームウェア 全バージョン
R32 SFCPU ファームウェア 全バージョン
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2021年08月06日]   掲載 2021年8月6日14:18
2 [2021年10月13日]
  概要:内容を更新
  CVSS による深刻度:内容を更新
  影響を受けるシステム:内容を更新
  想定される影響:内容を更新
  対策:内容を更新
  ベンダ情報:三菱電機株式会社 (MELSEC iQ-R シリーズ安全CPU/SIL2 プロセスCPU ユニットにおける認証回避の脆弱性) を追加
  共通脆弱性識別子(CVE):CVE-2021-20599 を追加
  CWE による脆弱性タイプ一覧:CWE-639 を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2021-20594) を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2021-20597) を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2021-20598) を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2021-20599) を追加
 2021年10月13日18:04
3 [2021年10月18日]
  参考情報:ICS Advisory (ICSA-21-250-01) を追加
  参考情報:ICS Advisory (ICSA-21-287-03) を追加		 2021年10月18日11:58
NVD脆弱性情報
CVE-2021-20594
概要

Exposure of Sensitive Information to an Unauthorized Actor vulnerability in Mitsubishi Electric MELSEC iQ-R series Safety CPU modules R08/16/32/120SFCPU firmware versions "26" and prior and Mitsubishi Electric MELSEC iQ-R series SIL2 Process CPU modules R08/16/32/120PSFCPU firmware versions "11" and prior allows a remote unauthenticated attacker to acquire legitimate user names registered in the module via brute-force attack on user names.

公表日 2021年8月7日2:15
登録日 2021年8月7日10:00
最終更新日 2024年11月21日14:46
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r08sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r08sfcpu:-:*:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r16sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r16sfcpu:-:*:*:*:*:*:*:*
構成3 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r32sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r32sfcpu:-:*:*:*:*:*:*:*
構成4 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r120sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r120sfcpu:-:*:*:*:*:*:*:*
構成5 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r08psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r08psfcpu:-:*:*:*:*:*:*:*
構成6 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r16psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r16psfcpu:-:*:*:*:*:*:*:*
構成7 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r32psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r32psfcpu:-:*:*:*:*:*:*:*
構成8 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r120psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r120psfcpu:-:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧
CVE-2021-20597
概要

Insufficiently Protected Credentials vulnerability in Mitsubishi Electric MELSEC iQ-R series Safety CPU modules R08/16/32/120SFCPU firmware versions "26" and prior and Mitsubishi Electric MELSEC iQ-R series SIL2 Process CPU modules R08/16/32/120PSFCPU firmware versions "11" and prior allows a remote unauthenticated attacker to login to the target unauthorizedly by sniffing network traffic and obtaining credentials when registering user information in the target or changing a password.

公表日 2021年8月7日2:15
登録日 2021年8月7日10:00
最終更新日 2024年11月21日14:46
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r08sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r08sfcpu:-:*:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r16sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r16sfcpu:-:*:*:*:*:*:*:*
構成3 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r32sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r32sfcpu:-:*:*:*:*:*:*:*
構成4 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r120sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r120sfcpu:-:*:*:*:*:*:*:*
構成5 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r08psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r08psfcpu:-:*:*:*:*:*:*:*
構成6 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r16psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r16psfcpu:-:*:*:*:*:*:*:*
構成7 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r32psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r32psfcpu:-:*:*:*:*:*:*:*
構成8 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r120psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r120psfcpu:-:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧
CVE-2021-20598
概要

Overly Restrictive Account Lockout Mechanism vulnerability in Mitsubishi Electric MELSEC iQ-R series CPU modules (R08/16/32/120SFCPU all versions, R08/16/32/120PSFCPU all versions) allows a remote unauthenticated attacker to lockout a legitimate user by continuously trying login with incorrect password.

公表日 2021年8月7日2:15
登録日 2021年8月7日10:00
最終更新日 2024年11月21日14:46
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r08sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r08sfcpu:-:*:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r16sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r16sfcpu:-:*:*:*:*:*:*:*
構成3 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r32sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r32sfcpu:-:*:*:*:*:*:*:*
構成4 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r120sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r120sfcpu:-:*:*:*:*:*:*:*
構成5 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r08psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r08psfcpu:-:*:*:*:*:*:*:*
構成6 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r16psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r16psfcpu:-:*:*:*:*:*:*:*
構成7 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r32psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r32psfcpu:-:*:*:*:*:*:*:*
構成8 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r120psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r120psfcpu:-:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧
CVE-2021-20599
概要

Cleartext Transmission of Sensitive InformationCleartext transmission of sensitive information vulnerability in MELSEC iQ-R series Safety CPU R08/16/32/120SFCPU firmware versions "26" and prior and MELSEC iQ-R series SIL2 Process CPU R08/16/32/120PSFCPU firmware versions "11" and prior allows a remote unauthenticated attacker to login to a target CPU module by obtaining credentials other than password.

公表日 2021年10月15日0:15
登録日 2021年10月15日10:00
最終更新日 2024年11月21日14:46
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r08sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r08sfcpu:-:*:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r16sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r16sfcpu:-:*:*:*:*:*:*:*
構成3 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r32sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r32sfcpu:-:*:*:*:*:*:*:*
構成4 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r120sfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r120sfcpu:-:*:*:*:*:*:*:*
構成5 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r08psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r08psfcpu:-:*:*:*:*:*:*:*
構成6 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r16psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r16psfcpu:-:*:*:*:*:*:*:*
構成7 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r32psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r32psfcpu:-:*:*:*:*:*:*:*
構成8 以上 以下 より上 未満
cpe:2.3:o:mitsubishielectric:r120psfcpu_firmware:*:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:h:mitsubishielectric:r120psfcpu:-:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧