CVE-2022-40265: JVNVU#94702422: 三菱電機製MELSEC iQ-RシリーズEthernetインタフェースユニットにおける不適切な入力確認の脆弱性

公開日：2022/11/29　最終更新日：2022/11/29

---

三菱電機製MELSEC iQ-RシリーズEthernetインタフェースユニットには、不適切な入力確認の脆弱性が存在します。

---

• MELSEC iQ-Rシリーズ
  • RJ71EN71 ファームウェアバージョン"65"およびそれ以前
  • R04/08/16/32/120ENCPU(ネットワーク部) ファームウェアバージョン"65"およびそれ以前

---

三菱電機株式会社が提供するMELSEC iQ-RシリーズEthernetインタフェースユニットには、不適切な入力確認の脆弱性（CWE-20、CVE-2022-40265）が存在します。

---

遠隔の第三者によって細工されたパケットを当該製品が受信すると、当該製品がサービス運用妨害（DoS）状態となる可能性があります。
なお、復旧にはリセットが必要です。

---

アップデートする
開発者が提供する情報をもとにアップデートしてください。
ファームウェアはダウンロード | 三菱電機 FAページから入手できます。

• MELSEC iQ-Rシリーズ
  • RJ71EN71 ファームウェアバージョン"66"およびそれ以降
  • R04/08/16/32/120ENCPU(ネットワーク部) ファームウェアバージョン"66"およびそれ以降

ファームウェアアップデート方法の詳細については、開発者が提供する次の情報を参照してください。

• MELSEC iQ-Rユニット構成マニュアル 「付2 ファームウェアアップデート機能」

ワークアラウンドを実施する
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

• 当該製品をインターネットに接続する場合は、ファイアウォールの設置や仮想プライベートネットワーク（VPN）を使用し、不正なアクセスを制限する
• 当該製品をLAN内で使用し、当該製品への接続を最小限に抑え、信頼できるネットワークやホストからのみアクセスできるよう制限する
• 当該製品のIPフィルタ機能（*1）を使用し、接続可能なIPアドレスを適切に制限する

（*1）IPフィルタ機能については、開発者が提供する次のマニュアルを参照してください。

• MELSEC iQ-R Ethernet ユーザーズマニュアル(応用編)セキュリティの「IP フィルタ」

詳しくは、開発者が提供する情報をご確認ください。

---

---

---

---

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

攻撃元区分(AV)

物理 §

ローカル (L)

隣接 (A)

ネットワーク (N)

攻撃条件の複雑さ(AC)

高 (H)

低 (L)

必要な特権レベル(PR)

高 (H)

低 (L)

不要 (N)

ユーザ関与レベル(UI)

要 ®

不要 (N)

スコープ(S)

変更なし (U)

変更あり ©

機密性への影響©

なし (N)

低 (L)

高 (H)

完全性への影響(I)

なし (N)

低 (L)

高 (H)

可用性への影響(A)

なし (N)

低 (L)

高 (H)

---

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

---

JPCERT 緊急報告

JPCERT REPORT

CERT Advisory

CPNI Advisory

TRnotes

CVE

JVN iPedia