JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は10月8日、「JVNVU#93417317: 複数のMobile Industrial Robots製品における複数の脆弱性」において、Mobile Industrial Robots(MiR)が開発している産業用ロボット「MiR」シリーズ向けソフトウェアに複数の脆弱性が報告されていると伝えた。

これら脆弱性を攻撃者に悪用されると、対象のデバイスに対して権限昇格やサービス運用妨害(DoS)、機密情報の窃取、不正な設定変更などといった攻撃が行われる危険性があるという。

今回報告されている脆弱性は次に挙げる10件。

  • CVE-2017-7184: 不適切なアクセス制御が原因で、一般ユーザによってrootへ権限昇格やサービス運用妨害(DoS)状態にされる
  • CVE-2017-18255: 整数オーバーフローまたはラップアラウンドの脆弱性によりサービス運用妨害(DoS)状態にされる
  • CVE-2020-10271: リモートの第三者によって、サービス運用妨害(DoS)状態にされたり、情報を取得される
  • CVE-2020-10272: 重要な機能に対する認証が欠如しており、第三者にデバイスを制御される危険性がある
  • CVE-2020-10273: 重要なデータが暗号化されておらず、第三者に機密情報を取得される危険性がある
  • CVE-2020-10278: 不適切なアクセス制御が原因で、緊急停止機能が無効化される
  • CVE-2020-10277: 不適切なアクセス制御が原因で、製品のハードドライブに保存されているデータの操作や取得が行われる
  • CVE-2020-10278: 不適切なアクセス制御が原因で、BIOSの設定が変更される
  • CVE-2020-10279: デフォルトパーミッションが不適切なことによって、権限昇格やサービス運用妨害(DoS)攻撃が行われる危険性がある
  • CVE-2020-10280: Webインタフェースのエンドポイント処理が不適切なことで、リモートの第三者によってサービス運用妨害(DoS)状態にされる危険性がある

上記の脆弱性のうち、CVE-2020-10271は深刻度が「Critical(緊急)」に分類されており、特に注意が必要。その他、6件の脆弱性が深刻度「Important(重要)」に分類されており、できる限り早急な対処が推奨される。

影響を受ける製品およびバージョンは以下の通りとなっている。

  • MiR100、MiR200、MiR250、MiR500、およびMiR1000のソフトウェアの2.10.2.1より前のバージョン
  • MiR Fleetのソフトウェアの2.10.2.1より前のバージョン

いずれの製品も、ソフトウェアを最新バージョンにアップデートすることで、脆弱性の影響を回避できるという。また開発元のMiRは、SSIDやWi-Fiアクセスポイントのパスワードなどをデフォルトから明示的に変更することを推奨している。各脆弱性に関する詳細は次のセキュリティアドバイザリページで公開されている。

  • JVNVU#93417317: 複数のMobile Industrial Robots製品における複数の脆弱性

    JVNVU#93417317: 複数のMobile Industrial Robots製品における複数の脆弱性