JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は7月30日(米国時間)、「JVNVU#93893801: 複数の三菱電機製 FA エンジニアリングソフトウェア製品における不適切なファイルアクセス制御の脆弱性」および「JVNVU#90224831: 複数の三菱電機製 FA 製品における複数の脆弱性」において、三菱電機の複数のFA(Factory Automation)製品およびFAエンジニアリングソフトウェアに脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって悪意のあるプログラムが実行されたり、情報の取得や改竄などが行われたりする危険性があるという。

今回報告された脆弱性は以下の3件。

  • (CVE-2020-14496)複数のFAエンジニアリングソフトウェア製品における不適切なファイルアクセス制御の脆弱性
  • (CVE-2020-14521)複数のFAエンジニアリングソフトウェア製品における悪意のあるコードが実行される脆弱性
  • (CVE-2020-14523)複数のFA製品における悪意のあるコードが実行される脆弱性

CVE-2020-14496は、一部のファイルに不適切な権限が与えられるため、悪意のある攻撃者によって細工されたファイルに置き換えられる可能性があるというもの。管理者権限を持ったユーザーが置き換えられたファイルを実行してしまった場合、情報の取得や破壊、改竄が行われたり、サービス拒否攻撃を受ける危険性があるという。CVE-2020-14521も同様に、一部のファイルに不適切な権限が与えられており、悪意のある攻撃者によって細工されたファイルに置き換えられるおそれがあるというもの。

CVE-2020-14523はパストラバーサル攻撃に対する脆弱性に起因して、悪意のある攻撃者によってプロジェクトファイルや設定データファイルに細工をされる危険性があるというもの。管理者権限のユーザーが細工されたファイルを操作した場合、実行ファイルや設定データファイルが書き換えられ、その結果として悪意のあるコードが実行される危険性がある。

  • JVNVU#93893801: 複数の三菱電機製 FA エンジニアリングソフトウェア製品における不適切なファイルアクセス制御の脆弱性

    JVNVU#93893801: 複数の三菱電機製 FA エンジニアリングソフトウェア製品における不適切なファイルアクセス制御の脆弱性

  • JVNVU#90224831: 複数の三菱電機製 FA 製品における複数の脆弱性

    JVNVU#90224831: 複数の三菱電機製 FA 製品における複数の脆弱性

対象となる製品およびバージョンは多岐にわたるため、詳細は上記JPCERT/CCのページか、または開発元による次の文書(PDF)を参照いただきたい。

これらの脆弱性のCVSS v3スコアはいずれも8.3となっており、これは深刻度"重要"に分類される。JPCERT/CCでは、必要に応じてアップデートを適用するか、適用できないまたは対策バージョンがリリースされていない場合にも適切な回避策を講じることを推奨している。