Headline
CVE-2022-33323: JVNVU#94588481: 三菱電機製MELFA SD/SQシリーズおよびFシリーズのロボットコントローラにおける認証回避の脆弱性
Active Debug Code vulnerability in robot controller of Mitsubishi Electric Corporation industrial robot MELFA SD/SQ Series and MELFA F-Series allows a remote unauthenticated attacker to gain unauthorized access by authentication bypass through an unauthorized telnet login. As for the affected model names, controller types and firmware versions, see the Mitsubishi Electric’s advisory which is listed in [References] section.
公開日:2023/01/26 最終更新日:2023/01/27
三菱電機製MELFA SD/SQシリーズおよびFシリーズのロボットコントローラには、認証回避の脆弱性が存在します。
- MELFA SD/SQシリーズ
- RV-□SD○●■△-◎ CR□DA-◇◇◇△ S7x版およびそれ以前
- RH-□SDH○●■△-◎ CR□DA-◇◇◇△ S7x版およびそれ以前
- RH-□SDHR○☆■△-◎ CR□DA-◇◇◇△ S7x版およびそれ以前
- RV-□SQ○●■△-◎ CR□QA-◇◇◇△ R7x版およびそれ以前
- RH-□SQH○●■△-◎ CR□QA-◇◇◇△ R7x版およびそれ以前
- RH-□SQHR○☆■△-◎ CR□QA-◇◇◇△ R7x版およびそれ以前
- MELFA Fシリーズ
- RV-□F○■△-▲D-◎ CR◇◇◇-□VD S7x版およびそれ以前
- RH-□FH○☆△-▲D-◎ CR◇◇◇-□HD S7x版およびそれ以前
- RH-□FHR○☆△-▲D-◎ CR◇◇◇-□HD S7x版およびそれ以前
- RV-□F○■△-▲Q-◎ CR◇◇◇-□VQ R7x版およびそれ以前
- RH-□FH○☆△-▲Q-◎ CR◇◇◇-□HQ R7x版およびそれ以前
- RH-□FHR○☆△-▲Q-◎ CR◇◇◇-□HQ R7x版およびそれ以前
製品の型名やコントローラ型式、ファームウェアバージョンの確認方法等の詳細については、開発者が提供する情報をご確認ください。
三菱電機株式会社が提供するMELFA SD/SQシリーズおよびFシリーズのロボットコントローラには、利用可能なデバッグ機能が存在していることに起因する認証回避の脆弱性(CWE-489、CVE-2022-33323)が存在します。
遠隔の第三者によって、telnetを経由し当該製品に不正にログインされ、ロボットコントローラに不正にアクセスされる可能性があります。
アップデートする
開発者が提供する情報をもとに、ファームウエアアップデートを適用してください。
対策済み製品の入手に関しては、製品の購入元の支社や代理店にお問合せください。
ワークアラウンドを実施する
開発者が提供する回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等を使用し、不正アクセスを防止する
- 当該製品をLAN内で使用し、信頼できないネットワークやホストからのアクセスをファイアウォールでブロックする
詳しくは、開発者が提供する情報をご確認ください。
- ICS Advisory (ICSA-23-026-05)
Mitsubishi Electric MELFA SD/SQ series and F-series Robot Controllers
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia
2023/01/27
[対策方法]を更新し、[参考情報]にICS Advisoryのリンクを追加しました