JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は11月15日、「JVNVU#98082029: 複数の三菱電機製家電製品のWi-Fi接続処理におけるデッドロックの脆弱性」において、複数の三菱電機製家電製品に脆弱性が存在すると伝えた。対象の脆弱性を悪用されると、当該製品のWi-Fi通信に対してサービス運用妨害(DoS: Denial of Service)攻撃が引き起こされる危険性があるとされており、注意が必要。
脆弱性に関する情報は、次のリンク(PDFファイル)にまとまっている。
三菱電機が提供する複数の家電製品が搭載しているRealtek製チップに、脆弱性(CWE - CWE-833、CVE-2022-34326)があることが判明した。Wi-Fiの電波が届く範囲内にいる攻撃者が特別に細工したパケットを送信し、アクセスポイントモードの動作中に受信した場合、当該製品のWi-Fi通信に対してサービス運用妨害(DoS: Denial of Service)が引き起こされる恐れがある。
なお、アクセスポイントモードは機器登録の際に使用するモードであり、通常の製品使用においてはアクセスポイントモードを使用しないため、この脆弱性の影響は受けない。
脆弱性が存在するとされるプロダクト次のとおり。
- ルームエアコン・無線LANアダプタ
- 冷蔵庫
- ヒートポンプ給湯機・HEMS対応アダプタ、無線LANアダプタ
- バス乾燥・暖房・換気システム
- 三菱HEMS用 制御アダプター、無線LANアダプター
- ロスナイセントラル換気システム
- 換気扇用・ロスナイ用スマートスイッチ
JPCERT/CCは、開発者の提供する情報に基づいてアップデートを適用することを推奨している。