United States Computer Emergency Readiness Team (US-CERT)は6月30日(現地時間)、「Mitsubishi Electric Factory Automation Engineering Software Products|CISA」において、三菱電機のFA (Factory Automation) エンジニアリング・ソフトウェアに複数の脆弱性が存在すると伝えた。
これら脆弱性を悪用されると、該当のソフトウェア製品が動作しているコンピュータで、ユーザー権限でアクセス可能な任意のファイルが外部に送信されたり、サービス拒否(DoS)状態に陥ったりする危険性がある。
脆弱性に関する情報は、三菱電機による次の文書(PDF)にまとめられている。
報告によれば、対象の脆弱性はXML処理の不備に起因するもので、具体的には次の2つの問題を含んでいるという。
- XML外部実体参照 (XXE) (CWE-611) - CVE-2020-5602
- リソースの枯渇 (CWE-400) - CVE-2020-5603
対象となるプロダクトおよびバージョンは以下の通り。
- CPU ユニットロギング設定ツール Ver. 1.94Y 以前
- CW Configurator Ver. 1.010L 以前
- EM Software Development Kit (EM Configurator) Ver. 1.010L 以前
- GT Designer3(GOT2000) Ver. 1.221F 以前
- GX LogViewer Ver. 1.96A 以前
- GX Works2 Ver. 1.586L 以前
- GX Works3 Ver. 1.058L 以前
- M_CommDTM-HART Ver. 1.00A
- M_CommDTM-IO-Link Ver. 1.02C 以前
- MELFA-Works Ver. 4.3 以前
- MELSEC-L フレキシブル高速 I/O 制御ユニット設定ツール Ver.1.004E 以前
- MELSOFT FieldDeviceConfigurator Ver. 1.03D 以前
- MELSOFT iQ AppPortal Ver. 1.11M 以前
- MELSOFT Navigator Ver. 2.58L 以前
- MI Configurator Ver. 1.003D 以前
- モーション制御設定 Ver. 1.005F 以前
- MR Configurator2 Ver. 1.72A 以前
- MT Works2 Ver. 1.156N 以前
- RT ToolBox2 Ver. 3.72A 以前
- RT ToolBox3 Ver. 1.50C 以前
開発元からはすでに対策を施したソフトゥエアの提供が行われており、早急にアップデートすることが推奨されている。該当する脆弱性が修正済みのプロダクトおよびバージョンは次のとおり。
- CPU ユニットロギング設定ツール Ver. 1.100E 以降
- CW Configurator Ver. 1.011M 以降
- EM Software Development Kit (EM Configurator) Ver. 1.015R 以降
- GT Designer3(GOT2000) Ver. 1.225K 以降
- GX LogViewer Ver. 1.100E 以降
- GX Works2 Ver. 1.590Q 以降
- GX Works3 Ver. 1.060N 以降
- M_CommDTM-HART Ver. 1.01B 以降
- M_CommDTM-IO-Link Ver. 1.03D 以降
- MELFA-Works Ver. 4.4 以降
- MELSEC-L フレキシブル高速 I/O 制御ユニット設定ツール Ver.1.005F 以降
- MELSOFT FieldDeviceConfigurator Ver. 1.04E 以降
- MELSOFT iQ AppPortal Ver. 1.14Q 以降
- MELSOFT Navigator Ver. 2.62Q 以降
- MI Configurator Ver. 1.004E 以降
- モーション制御設定 Ver. 1.006G 以降
- MR Configurator2 Ver. 1.100E 以降
- MT Works2 Ver. 1.160S 以降
- RT ToolBox2 Ver. 3.73B 以降
- RT ToolBox3 Ver. 1.60N 以降
すぐに製品をアップデートできない場合、リスクを最小限に抑えるため、使用するプロジェクトファイルや設定ファイルの入手経路を確認することや、該当する製品を管理者権限を持たないアカウントで実行する、制御システムデバイスやシステム本体のネットワークへの接続を最小限に抑えるなどといった軽減策を取るこが推奨されている。