NVD脆弱性詳細
Exploit、PoC検索
CVE-2021-20593
概要

Incorrect Implementation of Authentication Algorithm in Mitsubishi Electric Air Conditioning System/Centralized Controllers (G-50A Ver.2.50 to Ver. 3.35, GB-50A Ver.2.50 to Ver. 3.35, AG-150A-A Ver.3.20 and prior, AG-150A-J Ver.3.20 and prior, GB-50ADA-A Ver.3.20 and prior, GB-50ADA-J Ver.3.20 and prior, EB-50GU-A Ver 7.09 and prior, EB-50GU-J Ver 7.09 and prior, AE-200A Ver 7.93 and prior, AE-200E Ver 7.93 and prior, AE-50A Ver 7.93 and prior, AE-50E Ver 7.93 and prior, EW-50A Ver 7.93 and prior, EW-50E Ver 7.93 and prior, TE-200A Ver 7.93 and prior, TE-50A Ver 7.93 and prior, TW-50A Ver 7.93 and prior, CMS-RMD-J Ver.1.30 and prior) and Air Conditioning System/Expansion Controllers (PAC-YG50ECA Ver.2.20 and prior) allows a remote authenticated attacker to impersonate administrators to disclose configuration information of the air conditioning system and tamper information (e.g. operation information and configuration of air conditioning system) by exploiting this vulnerability.

公表日 2021年7月13日23:15
登録日 2021年7月14日10:00
最終更新日 2024年11月21日14:46
CVSS3.1 : HIGH
スコア 7.1
ベクター CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR)
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I)
可用性への影響(A) なし
CVSS2.0 : MEDIUM
スコア 5.5
ベクター AV:N/AC:L/Au:S/C:P/I:P/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 単一
機密性への影響(C)
完全性への影響(I)
可用性への影響(A) なし
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 いいえ
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:g-50a_firmware:*:*:*:*:*:*:*:* 2.50 3.35
実行環境
1 cpe:2.3:h:mitsubishi:g-50a:-:*:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:gb-50a_firmware:*:*:*:*:*:*:*:* 2.50 3.35
実行環境
1 cpe:2.3:h:mitsubishi:gb-50a:-:*:*:*:*:*:*:*
構成3 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:ag-150a-a_firmware:*:*:*:*:*:*:*:* 3.20
実行環境
1 cpe:2.3:h:mitsubishi:ag-150a-a:-:*:*:*:*:*:*:*
構成4 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:ag-150a-j_firmware:*:*:*:*:*:*:*:* 3.20
実行環境
1 cpe:2.3:h:mitsubishi:ag-150a-j:-:*:*:*:*:*:*:*
構成5 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:gb-50ada-a_firmware:*:*:*:*:*:*:*:* 3.20
実行環境
1 cpe:2.3:h:mitsubishi:gb-50ada-a:-:*:*:*:*:*:*:*
構成6 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:gb-50ada-j_firmware:*:*:*:*:*:*:*:* 3.20
実行環境
1 cpe:2.3:h:mitsubishi:gb-50ada-j:-:*:*:*:*:*:*:*
構成7 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:eb-50gu-a_firmware:*:*:*:*:*:*:*:* 7.09
実行環境
1 cpe:2.3:h:mitsubishi:eb-50gu-a:-:*:*:*:*:*:*:*
構成8 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:eb-50gu-j_firmware:*:*:*:*:*:*:*:* 7.09
実行環境
1 cpe:2.3:h:mitsubishi:eb-50gu-j:-:*:*:*:*:*:*:*
構成9 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:ae-200a_firmware:*:*:*:*:*:*:*:* 7.93
実行環境
1 cpe:2.3:h:mitsubishi:ae-200a:-:*:*:*:*:*:*:*
構成10 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:ae-200e_firmware:*:*:*:*:*:*:*:* 7.93
実行環境
1 cpe:2.3:h:mitsubishi:ae-200e:-:*:*:*:*:*:*:*
構成11 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:ae-50a_firmware:*:*:*:*:*:*:*:* 7.93
実行環境
1 cpe:2.3:h:mitsubishi:ae-50a:-:*:*:*:*:*:*:*
構成12 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:ae-50e_firmware:*:*:*:*:*:*:*:* 7.93
実行環境
1 cpe:2.3:h:mitsubishi:ae-50e:-:*:*:*:*:*:*:*
構成13 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:ew-50a_firmware:*:*:*:*:*:*:*:* 7.93
実行環境
1 cpe:2.3:h:mitsubishi:ew-50a:-:*:*:*:*:*:*:*
構成14 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:ew-50e_firmware:*:*:*:*:*:*:*:* 7.93
実行環境
1 cpe:2.3:h:mitsubishi:ew-50e:-:*:*:*:*:*:*:*
構成15 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:te-200a_firmware:*:*:*:*:*:*:*:* 7.93
実行環境
1 cpe:2.3:h:mitsubishi:te-200a:-:*:*:*:*:*:*:*
構成16 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:te-50a_firmware:*:*:*:*:*:*:*:* 7.93
実行環境
1 cpe:2.3:h:mitsubishi:te-50a:-:*:*:*:*:*:*:*
構成17 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:tw-50a_firmware:*:*:*:*:*:*:*:* 7.93
実行環境
1 cpe:2.3:h:mitsubishi:tw-50a:-:*:*:*:*:*:*:*
構成18 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:cms-rmd-j_firmware:*:*:*:*:*:*:*:* 1.30
実行環境
1 cpe:2.3:h:mitsubishi:cms-rmd-j:-:*:*:*:*:*:*:*
構成19 以上 以下 より上 未満
cpe:2.3:o:mitsubishi:pac-yg50eca_firmware:*:*:*:*:*:*:*:* 2.20
実行環境
1 cpe:2.3:h:mitsubishi:pac-yg50eca:-:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
三菱電機製空調管理システムの WEB 機能における認証アルゴリズムの不適切な実装に関する脆弱性
タイトル 三菱電機製空調管理システムの WEB 機能における認証アルゴリズムの不適切な実装に関する脆弱性
概要

三菱電機製空調管理システムの WEB 機能には、認証アルゴリズムの不適切な実装に関する脆弱性 (CWE-303, CVE-2021-20593) が存在します。 この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

想定される影響 当該製品の WEB 機能にログイン可能な遠隔の第三者によって、権限昇格により当該製品の管理者権限で操作されます。その結果、当該空調管理システムの設定情報を取得されたり、空調機器の運転操作や設定値といった設定情報を改ざんされたりする可能性があります。
対策

[アップデートする] 各製品および型番に対応したアップデートを適用してください。  * 空調管理システム/集中コントローラー    * G-50 Ver.3.36 およびそれ以降    * G-50-W Ver.3.36 およびそれ以降    * GB-50 Ver.3.36 およびそれ以降    * G-150AD Ver.3.21 およびそれ以降    * GB-50AD Ver.3.21 およびそれ以降    * AE-200J Ver.7.95 およびそれ以降    * AE-50J Ver.7.95 およびそれ以降    * EW-50J Ver.7.95 およびそれ以降  * 空調管理システム/拡張コントローラー    * PAC-YG50EC Ver.2.21 およびそれ以降 [ワークアラウンドを実施する] 次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。  * インターネット等の外部ネットワークへ接続する場合は、VPN ルーター等を使用する  * 該当製品へアクセス可能なパソコンにウイルス対策ソフトを搭載する  * 該当製品へのアクセスを、信頼できるネットワークやホストからのアクセスのみに制限する  * 工場出荷時のユーザー名とパスワードを変更する 詳しくは<a href="https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-004.pdf" target="_blank">開発者が提供する情報</a>をご確認ください。
公表日 2021年7月1日0:00
登録日 2021年7月2日15:43
最終更新日 2021年7月2日15:43
影響を受けるシステム
三菱電機
AE-200J Ver.7.93 およびそれ以前
AE-50J Ver.7.93 およびそれ以前
EW-50J Ver.7.93 およびそれ以前
G-150AD Ver.3.20 およびそれ以前
G-50 Ver.2.50 から 3.35 まで
G-50-W Ver.2.50 から 3.35 まで
GB-50 Ver.2.50 から 3.35 まで
GB-50AD Ver.3.20 およびそれ以前
PAC-YG50EC Ver.2.20 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2021年07月02日]
  掲載		 2021年7月2日15:43