NVD脆弱性詳細

CVE-2020-5652

概要	Uncontrolled resource consumption vulnerability in Ethernet Port on MELSEC iQ-R, Q and L series CPU modules (R 00/01/02 CPU firmware versions '20' and earlier, R 04/08/16/32/120 (EN) CPU firmware versions '52' and earlier, R 08/16/32/120 SFCPU firmware versions '22' and earlier, R 08/16/32/120 PCPU all versions, R 08/16/32/120 PSFCPU all versions, R 16/32/64 MTCPU all versions, Q03 UDECPU, Q 04/06/10/13/20/26/50/100 UDEHCPU serial number '22081' and earlier , Q 03/04/06/13/26 UDVCPU serial number '22031' and earlier, Q 04/06/13/26 UDPVCPU serial number '22031' and earlier, Q 172/173 DCPU all versions, Q 172/173 DSCPU all versions, Q 170 MCPU all versions, Q 170 MSCPU all versions, L 02/06/26 CPU (-P) and L 26 CPU - (P) BT all versions) allows a remote unauthenticated attacker to stop the Ethernet communication functions of the products via a specially crafted packet, which may lead to a denial of service (DoS) condition .
公表日	2020年11月3日6:15
登録日	2021年1月26日11:59
最終更新日	2024年11月21日14:34

CVSS3.1 : HIGH
スコア	7.5
ベクター	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	高

CVSS2.0 : MEDIUM
スコア	5.0
ベクター	AV:N/AC:L/Au:N/C:N/I:N/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q04udpvcpu_firmware:22031:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q04udpvcpu:-:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q06udpvcpu_firmware:22031:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q06udpvcpu:-:::::::*

構成3		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q13udpvcpu_firmware:22031:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q13udpvcpu:-:::::::*

構成4		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q26udpvcpu_firmware:22031:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q26udpvcpu:-:::::::*

構成5		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q03udvcpu_firmware:22031:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q03udvcpu:-:::::::*

構成6		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q04udvcpu_firmware:22031:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q04udvcpu:-:::::::*

構成7		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q13udvcpu_firmware:22031:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q13udvcpu:-:::::::*

構成8		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q26udvcpu_firmware:22031:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q26udvcpu:-:::::::*

構成9		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q03udecpu_firmware:22081:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q03udecpu:-:::::::*

構成10		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q04udehcpu_firmware:22081:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q04udehcpu:-:::::::*

構成11		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q06udehcpu_firmware:22081:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q06udehcpu:-:::::::*

構成12		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q10udehcpu_firmware:22081:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q10udehcpu:-:::::::*

構成13		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q13udehcpu_firmware:22081:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q13udehcpu:-:::::::*

構成14		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q20udehcpu_firmware:22081:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q20udehcpu:-:::::::*

構成15		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q26udehcpu_firmware:22081:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q26udehcpu:-:::::::*

構成16		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q50udehcpu_firmware:22081:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q50udehcpu:-:::::::*

構成17		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q100udehcpu_firmware:22081:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q100udehcpu:-:::::::*

構成18		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r08sfcpu_firmware:22:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r08sfcpu:-:::::::*

構成19		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r16sfcpu_firmware:22:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r16sfcpu:-:::::::*

構成20		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r32sfcpu_firmware:22:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r32sfcpu:-:::::::*

構成21		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r120sfcpu_firmware:22:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r120sfcpu:-:::::::*

構成22		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r04encpu_firmware:52:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r04encpu:-:::::::*

構成23		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r08encpu_firmware:52:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r08encpu:-:::::::*

構成24		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r16encpu_firmware:52:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r16encpu:-:::::::*

構成25		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r32encpu_firmware:52:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r32encpu:-:::::::*

構成26		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r120encpu_firmware:52:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r120encpu:-:::::::*

構成27		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r00cpu_firmware:20:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r00cpu:-:::::::*

構成28		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r01cpu_firmware:20:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r01cpu:-:::::::*

構成29		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r02cpu_firmware:20:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r02cpu:-:::::::*

構成30		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r08pcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r08pcpu:-:::::::*

構成31		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r08psfcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r08psfcpu:-:::::::*

構成32		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r120pcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r120pcpu:-:::::::*

構成33		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r120psfcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r120psfcpu:-:::::::*

構成34		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r16mtcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r16mtcpu:-:::::::*

構成35		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r16pcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r16pcpu:-:::::::*

構成36		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r16psfcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r16psfcpu:-:::::::*

構成37		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r32mtcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r32mtcpu:-:::::::*

構成38		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r32pcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r32pcpu:-:::::::*

構成39		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r32psfcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r32psfcpu:-:::::::*

構成40		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_iq-r64mtcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_iq-r64mtcpu:-:::::::*

構成41		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_l02cpu-p_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_l02cpu-p:-:::::::*

構成42		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_l06cpu-p_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_l06cpu-p:-:::::::*

構成43		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_l26cpu-p_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_l26cpu-p:-:::::::*

構成44		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_l26cpu-pbt_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_l26cpu-pbt:-:::::::*

構成45		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q170mcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q170mcpu:-:::::::*

構成46		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q170mscpu-s1_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q170mscpu-s1:-:::::::*

構成47		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q172dcpu-s1_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q172dcpu-s1:-:::::::*

構成48		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q172dscpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q172dscpu:-:::::::*

構成49		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q173dcpu-s1_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q173dcpu-s1:-:::::::*

構成50		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-q173dscpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-q173dscpu:-:::::::*

構成51		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:melsec_q-qmr-mq100_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:melsec_q-qmr-mq100:-:::::::*

関連情報、対策とツール

No	URL	タグ
1	https://jvn.jp/vu/JVNVU96558207/index.html	Third Party Advisory
2	https://jvn.jp/vu/JVNVU96558207/index.html	Third Party Advisory
3	https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-013.pdf	Vendor Advisory
4	https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-013.pdf	Vendor Advisory
5	https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2020-013_en.pdf	Vendor Advisory
6	https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2020-013_en.pdf	Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-400	リソースの枯渇	https://cwe.mitre.org/data/definitions/400.html

JVN脆弱性情報

三菱電機製 MELSEC iQ-R、Q および L シリーズにおけるリソース枯渇の脆弱性

タイトル	三菱電機製 MELSEC iQ-R、Q および L シリーズにおけるリソース枯渇の脆弱性
概要	三菱電機株式会社が提供する MELSEC iQ-R、Q および L シリーズの CPU ユニットには、リソース枯渇の脆弱性 (CWE-400) が存在します。この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
想定される影響	遠隔の第三者によって細工されたパケットを受信すると、Ethernet 通信がサービス運用妨害 (DoS) 状態となる可能性があります。なお、復旧にはリセットが必要です。
対策	[アップデートする] 開発者が提供する情報をもとに、アップデートが可能か否かを確認してください。アップデートが可能な場合は、<a href="https://www.mitsubishielectric.co.jp/fa/download/index.html" target="blank">ダウンロード \| 三菱電機 FA</a> から対策済みバージョンのアップデートファイルをダウンロードし、アップデートしてください。アップデート方法の詳細は、開発者が提供する次のマニュアルを参照してください。　* MELSEC iQ-R ユニット構成マニュアル「付 2 ファームウェアアップデート機能」　* MELSEC iQ-R モーションコントローラプログラミングマニュアル (共通編) 「8.4 本体 OS ソフトウェアのインストール」　* Q173D(S)CPU/Q172D(S)CPU モーションコントローラユーザーズマニュアル「5.3 本体 OS ソフトウェアのインストール手順」　* Q170MCPU モーションコントローラユーザーズマニュアル「5.3 本体 OS ソフトウェアのインストール手順」　* Q170MSCPU(-S1) モーションコントローラユーザーズマニュアル「5.3 本体 OS ソフトウェアのインストール手順」　* MR-MQ100 Motion Controller User's Manual (Details) 「5.3 Operating System Software Installation Procedure」 [ワークアラウンドを実施する] アップデートを適用できない場合には、次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。　* 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) などを使用する　* 当該製品を LAN 内での使用に限定し、信頼できないネットワークやホストからのアクセスを制限する [後続製品への移行を検討する] MELSEC Q シリーズおよび L シリーズでアップデート対象外の場合、本脆弱性の対策がされている MELSEC iQ-R シリーズへの移行をすると、本脆弱性の影響は受けません。詳しくは、<a href="https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-013.pdf" target="blank">開発者が提供する情報</a>を参照してください。
公表日	2020年10月29日0:00
登録日	2020年11月5日15:29
最終更新日	2024年9月6日15:44

影響を受けるシステム

三菱電機

MELSEC iQ-R シリーズ R00/01/02CPU ファームウェアバージョン "20" およびそれ以前

MELSEC iQ-R シリーズ R04/08/16/32/120(EN)CPU ファームウェアバージョン "52" およびそれ以前

MELSEC iQ-R シリーズ R08/16/32/120PCPU ファームウェアバージョン "24" およびそれ以前

MELSEC iQ-R シリーズ R08/16/32/120PSFCPU ファームウェアバージョン "06" およびそれ以前

MELSEC iQ-R シリーズ R08/16/32/120SFCPU ファームウェアバージョン "22" およびそれ以前

MELSEC iQ-R シリーズ R16/32/64MTCPU 本体 OS ソフトウェアバージョン "21" およびそれ以前

MELSEC L シリーズ L02/06/26CPU(-P) および L26CPU-(P)BT シリアル No. の上 5桁が ”23121” およびそれ以前

MELSEC Q シリーズ MR-MQ100 本体 OS ソフトウェアバージョン "E" およびそれ以前 (* 海外一部地域専用品 )

MELSEC Q シリーズ Q03/04/06/13/26UDVCPU シリアル No. の上 5桁が "22031" およびそれ以前

MELSEC Q シリーズ Q03UDECPU および Q04/06/10/13/20/26/50/100UDEHCPU シリアル No. の上 5桁が "22081" およびそれ以前

MELSEC Q シリーズ Q04/06/13/26UDPVCPU シリアル No. の上 5桁が "22031" およびそれ以前

MELSEC Q シリーズ Q170MCPU 本体 OS ソフトウェアバージョン "V" およびそれ以前

MELSEC Q シリーズ Q170MSCPU(-S1) 本体 OS ソフトウェアバージョン "W" およびそれ以前

MELSEC Q シリーズ Q172/173DCPU-S1 本体 OS ソフトウェアバージョン "V" およびそれ以前

MELSEC Q シリーズ Q172/173DSCPU 本体 OS ソフトウェアバージョン "W" およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-5652	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5652
National Vulnerability Database (NVD)
2	CVE-2020-5652	https://nvd.nist.gov/vuln/detail/CVE-2020-5652

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-400	https://cwe.mitre.org/data/definitions/400.html

ベンダー情報

No	名前	URL
三菱電機
1	MELSEC iQ-R、Q および L シリーズ CPU ユニットの Ethernet ポートにおけるサービス拒否 (DoS) の脆弱性	https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-013.pdf

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-20-303-01	https://us-cert.cisa.gov/ics/advisories/icsa-20-303-01
JVN
2	JVNVU#96558207	https://jvn.jp/vu/JVNVU96558207

変更履歴

No	変更内容	変更日
4	[2022年03月30日] 影響を受けるシステム：内容を更新対策：内容を更新	2022年3月30日16:05
3	[2022年01月14日] 影響を受けるシステム：内容を更新対策：内容を更新	2022年1月14日11:48
1	[2020年11月05日] 掲載	2020年11月5日15:29
2	[2021年05月19日] 影響を受けるシステム：内容を更新対策：内容を更新	2021年5月19日11:32
5	[2024年09月06日] 影響を受けるシステム：内容を更新対策：内容を更新	2024年9月6日15:02