JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月20日、「JVNVU#95403720: 三菱電機製GENESIS64およびMC Works64における複数の脆弱性」において、三菱電機が提供しているSCADAソフトウェアの「GENESIS64」と「MC Works64」に複数の脆弱性が報告されていると伝えた。
これらの脆弱性を悪用されると、攻撃者によって、システムの不正操作やサービス運用妨害(DoS)攻撃、データベースへの不正アクセス、認証の回避などを実行される危険性がある。
今回報告されている脆弱性は次の4件で、それぞれかっこ内に示す製品およびバージョンが影響を受けるという。
- CVE-2022-23130: バッファオーバーリード (GENESIS64 Version 10.97、MC Works64 Version 4.00Aから4.04E)
- CVE-2022-23128: 不完全なブラックリスト (GENESIS64 Version 10.97、MC Works64 Version 4.00Aから4.04E)
- CVE-2022-23129: 認証情報の平文保存 (GENESIS64 Version 10.97、MC Works64 Version 4.04Eおよびそれ以前のすべてのバージョン)
- CVE-2022-23127: 反射型クロスサイトスクリプティング (MC Works64 Version 4.04Eおよびそれ以前のすべてのバージョン)
三菱電機からは、各脆弱性に対して次のアナウンスが公開されている。
- GENESIS64およびMC Works64のデータベースサーバーにおけるサービス拒否(DoS)の脆弱性
- GENESIS64およびMC Works64における情報漏えいの脆弱性
- GENESIS64およびMC Works64のWeb通信機能における認証回避の脆弱性
- MC Works64のモバイル監視における情報漏えいの脆弱性
4件の脆弱性のうち、CVE-2022-23128についてはCVSS v3のベーススコアが9.8で深刻度「緊急」に分類されており、特に注意が必要だ。この脆弱性は、該当製品に搭載されたFrameWorXサーバに存在するもので、リモートの第三者によって細工されたWebSocketプロトコルのパケットが送信されると、認証が回避されて対象の製品を任意に操作される危険性があるというもの。
いずれの脆弱性に関しても、開発元から提供されているセキュリティパッチを適用することで影響を回避することができる。JPCERT/CCでは、三菱電機の提供する情報にもとづいてセキュリティパッチを適用するか、指定されたワークアラウンドを実施して脆弱性の影響を軽減することを推奨している。