Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

三菱製シーケンサ「MELSEC」のUDP/IP通信にリソース枯渇のおそれ

三菱電機の制御システム「MELSECシリーズ」においてリリースが枯渇し、サービス拒否に陥る脆弱性が含まれていることがわかった。

大量のデータを受信している間、UDP/IPにより通信を行う「ELSOFT交信ポート」においてリソースが枯渇する脆弱性「CVE-2020-5527」が明らかとなったもの。「同iQ-Rシリーズ」「同iQ-Fシリーズ」「同Qシリーズ」「同Lシリーズ」「同Fシリーズ」が影響を受ける。

同社は、シーケンス制御など、Ethernet通信以外の機能が脆弱性の影響を受けることはないとしている。

同脆弱性は、三菱電機が利用者へ周知するためにJPCERTコーディネーションセンターへ報告したもので、同センターが調整を実施。修正プログラムを提供する予定はなく、ファイアウォールなど利用して外部からのアクセスを制限したり、接続できるIPアドレスを制限するといった緩和策の実施を呼びかけている。

(Security NEXT - 2020/03/31 ) このエントリーをはてなブックマークに追加

PR

関連記事

横河電機の制御システム向けアラーム管理ソフトに複数脆弱性
米政府、制御システムの保護に向けた戦略を発表
富士電機の「V-Server Lite」に脆弱性 - アップデートが公開
オムロンの「PLC」にサービス拒否の脆弱性
三菱電機の一部制御システム製品に「URGENT/11」の脆弱性
オムロン製「PLC」に複数の脆弱性
システム制御製品「CX-Supervisor」の同梱「TeamViewer」に脆弱性
オムロン製の制御システムソフト「CX-Supervisor」に5件の脆弱性
オムロン製制御システム向けソフトに複数脆弱性 - コード実行のおそれ
制御システム向けにリスクアセスメントサービス - ラック