Headline
CVE-2022-29833: JVNVU#97244961: 三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性
Insufficiently Protected Credentials vulnerability in Mitsubishi Electric Corporation GX Works3 versions 1.015R and later allows a remote unauthorized attacker to disclose sensitive information. As a result, unauthorized users could access to MELSEC safety CPU modules illgally.
公開日:2022/11/24 最終更新日:2022/11/24
三菱電機製FAエンジニアリングソフトウェア製品には、複数の脆弱性が存在します。
影響を受ける各製品のバージョンは、各脆弱性により異なります。
詳しくは、開発者が提供する情報をご確認ください。
- GX Works3
- MX OPC UA Module Configurator-R
各製品のバージョンの確認方法については、開発者が提供する次のマニュアルをご確認ください。
マニュアルはダウンロード | 三菱電機 FAページから入手できます。
- GX Works3
- 「GX Works3オペレーティングマニュアル」の「1.8 GX Works3の操作方法について調べる」の「GX Works3のバージョン確認」
- MX OPC UA Module Configurator-R
- 「MELSEC iQ-R OPC UAサーバユニットユーザーズマニュアル(応用編)」の「2.12 ヘルプ」
三菱電機株式会社が提供するFAエンジニアリングソフトウェア製品には、次の複数の脆弱性が存在します。
重要な情報の平文保存****(CWE-312)- CVE-2022-25164
CVSS v3
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
基本値: 8.6
ハードコードされたパスワードの使用****(CWE-259)- CVE-2022-29825
CVSS v3
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N
基本値: 5.6
重要な情報の平文保存****(CWE-312)- CVE-2022-29826
CVSS v3
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N
基本値: 6.8
ハードコードされた暗号鍵の使用****(CWE-321)- CVE-2022-29827
CVSS v3
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N
基本値: 6.8
ハードコードされた暗号鍵の使用****(CWE-321)- CVE-2022-29828
CVSS v3
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N
基本値: 6.8
ハードコードされた暗号鍵の使用****(CWE-321)- CVE-2022-29829
CVSS v3
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N
基本値: 6.8
ハードコードされた暗号鍵の使用****(CWE-321)- CVE-2022-29830
CVSS v3
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
基本値: 9.1
ハードコードされたパスワードの使用****(CWE-259)- CVE-2022-29831
CVSS v3
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
基本値: 7.5
メモリにおける平文での重要な情報の保存****(CWE-316)- CVE-2022-29832
CVSS v3
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
基本値: 3.7
認証情報の不十分な保護****(CWE-522)- CVE-2022-29833
CVSS v3
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N
基本値: 6.8
想定される影響は脆弱性により異なりますが、次のような可能性があります。
- 機密情報が漏えいし、結果として、権限のないユーザによってCPUユニットおよびOPC UAサーバユニットへ不正にアクセスされる - CVE-2022-25164
- 機密情報が漏えいし、結果として、権限のないユーザによってプログラムを不正に閲覧されたりプログラムを不正に実行されたりする - CVE-2022-29825、CVE-2022-29826、CVE-2022-29827、CVE-2022-29828、CVE-2022-29829
- 機密情報が漏えいまたは改ざんされ、結果として、権限のないユーザによってプロジェクトファイルに関する情報を不正に取得される - CVE-2022-29830
- 権限のないユーザによって、安全CPUユニットのプロジェクトファイルに関する情報が漏えいする - CVE-2022-29831
- 機密情報が漏えいし、結果として、権限のないユーザによって安全CPUのプロジェクトファイルに関する情報を不正に取得される - CVE-2022-29832
- 機密情報が漏えいし、結果として、権限のないユーザによって安全CPUユニットへ不正にアクセスされる - CVE-2022-29833
詳しくは、開発者が提供する情報をご確認ください。
アップデートする
アップデートが提供されている製品のバージョンに関しては、開発者が提供する情報をもとにアップデートしてください。
アップデートは、ダウンロード | 三菱電機 FAページから入手できます。
ワークアラウンドを実施する
アップデートが提供されていない製品のバージョンを使っている場合、もしくはアップデートを速やかに適用できない場合、それぞれの脆弱性に対応した回避策を適用することで、本脆弱性の影響を軽減することが可能です。
回避策は脆弱性により異なります。詳しくは開発者が提供する情報をご確認ください。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia
Related news
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) this week released an Industrial Control Systems (ICS) advisory warning of multiple vulnerabilities in Mitsubishi Electric GX Works3 engineering software. "Successful exploitation of these vulnerabilities could allow unauthorized users to gain access to the MELSEC iQ-R/F/L series CPU modules and the MELSEC iQ-R series OPC UA server
Use of Hard-coded Cryptographic Key vulnerability in Mitsubishi Electric GX Works3 all versions allows a remote unauthenticated attacker to disclose or tamper with sensitive information. As a result, unauthorized users may obtain information about project files illegally.