| タイトル | 三菱電機製 GT Designer3、GOT2000 シリーズ、GOT SIMPLE シリーズおよび GT SoftGOT2000 における不十分なパスワード保護の脆弱性 |
|---|---|
| 概要 | 三菱電機株式会社が提供する GT Designer3、GOT2000 シリーズ、GOT SIMPLE シリーズおよび GT SoftGOT2000 のデータ転送セキュリティ機能では、通信パケット中に含まれるパスワードを保護するために一定の符号化を行っています。しかし、この符号化処理は元データを容易に復元可能です (CWE-261、CVE-2023-0525)。 この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 |
| 想定される影響 | 通信パケットを盗聴された場合、符号化されたデータから元のパスワードを窃取される可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとにファームウェアをアップデートしてください。 ファームウェアの入手方法およびアップデート方法は製品により異なります。詳しくは、<a href="https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2023-008.pdf"target="blank">開発者が提供する情報</a>を確認してください。 [ワークアラウンドを実施する] 次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 * 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用し、不正アクセスを防止する * 当該製品を LAN 内で使用し、信頼できないネットワークやホストからアクセスできないようにする * 当該製品が接続されたネットワークへの物理的なアクセスを防止する * IP フィルタ機能 (*1) を使用し、接続可能な IP アドレスを制限する (*1) GT Designer3 (GOT2000) 画面設計マニュアル (SH-081219) 「5.4.3 章 IP フィルタを設定する」を参照 詳しくは、<a href="https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2023-008.pdf"target="blank">開発者が提供する情報</a>を確認してください。 |
| 公表日 | 2023年8月4日0:00 |
| 登録日 | 2023年8月7日11:14 |
| 最終更新日 | 2023年8月7日11:14 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| 三菱電機 |
| GOT SIMPLE (ハードウェア製品) |
| GOT2000 (ハードウェア製品) |
| GT Designer3 Version1 (GOT2000) (ソフトウェア製品) |
| GT SoftGOT2000 (ソフトウェア製品) |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2023年08月07日] 掲載 |
2023年8月7日11:14 |
| 概要 | Weak Encoding for Password vulnerability in Mitsubishi Electric Corporation GOT2000 Series GT27 model versions 01.49.000 and prior, GT25 model versions 01.49.000 and prior, GT23 model versions 01.49.000 and prior, GT21 model versions 01.49.000 and prior, GOT SIMPLE Series GS25 model versions 01.49.000 and prior, GS21 model versions 01.49.000 and prior, GT Designer3 Version1 (GOT2000) versions 1.295H and prior and GT SoftGOT2000 versions 1.295H and prior allows a remote unauthenticated attacker to obtain plaintext passwords by sniffing packets containing encrypted passwords and decrypting the encrypted passwords, in the case of transferring data with GT Designer3 Version1(GOT2000) and GOT2000 Series or GOT SIMPLE Series with the Data Transfer Security function enabled, or in the case of transferring data by the SoftGOT-GOT link function with GT SoftGOT2000 and GOT2000 series with the Data Transfer Security function enabled. |
|---|---|
| 公表日 | 2023年8月4日9:15 |
| 登録日 | 2023年8月4日16:00 |
| 最終更新日 | 2024年11月21日16:37 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:mitsubishielectric:gt_designer3:*:*:*:*:*:*:*:* | 1.300n | ||||
| cpe:2.3:a:mitsubishielectric:gt_softgot2000:*:*:*:*:*:*:*:* | 1.300n | ||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:mitsubishielectric:gt27_firmware:*:*:*:*:*:*:*:* | 01.50.000 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:mitsubishielectric:gt27:-:*:*:*:*:*:*:* | ||||
| 構成3 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:mitsubishielectric:gt25_firmware:*:*:*:*:*:*:*:* | 01.50.000 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:mitsubishielectric:gt25:-:*:*:*:*:*:*:* | ||||
| 構成4 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:mitsubishielectric:gt23_firmware:*:*:*:*:*:*:*:* | 01.50.000 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:mitsubishielectric:gt23:-:*:*:*:*:*:*:* | ||||
| 構成5 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:mitsubishielectric:gt21_firmware:*:*:*:*:*:*:*:* | 01.50.000 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:mitsubishielectric:gt21:-:*:*:*:*:*:*:* | ||||
| 構成6 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:mitsubishielectric:gs25_firmware:*:*:*:*:*:*:*:* | 01.50.000 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:mitsubishielectric:gs25:-:*:*:*:*:*:*:* | ||||
| 構成7 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:mitsubishielectric:gs21_firmware:*:*:*:*:*:*:*:* | 01.50.000 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:mitsubishielectric:gs21:-:*:*:*:*:*:*:* | ||||