Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

三菱製シーケンサ「MELSEC」のUDP/IP通信にリソース枯渇のおそれ

三菱電機の制御システム「MELSECシリーズ」においてリリースが枯渇し、サービス拒否に陥る脆弱性が含まれていることがわかった。

大量のデータを受信している間、UDP/IPにより通信を行う「ELSOFT交信ポート」においてリソースが枯渇する脆弱性「CVE-2020-5527」が明らかとなったもの。「同iQ-Rシリーズ」「同iQ-Fシリーズ」「同Qシリーズ」「同Lシリーズ」「同Fシリーズ」が影響を受ける。

同社は、シーケンス制御など、Ethernet通信以外の機能が脆弱性の影響を受けることはないとしている。

同脆弱性は、三菱電機が利用者へ周知するためにJPCERTコーディネーションセンターへ報告したもので、同センターが調整を実施。修正プログラムを提供する予定はなく、ファイアウォールなど利用して外部からのアクセスを制限したり、接続できるIPアドレスを制限するといった緩和策の実施を呼びかけている。

(Security NEXT - 2020/03/31 ) このエントリーをはてなブックマークに追加

PR

関連記事

米当局、脆弱性3件の悪用に注意喚起 - FortinetやIvantiの製品が標的に
3月のMS月例パッチ、産業制御システムへの影響に注意を
富士電機製の制御システム関連製品に複数の脆弱性
富士電機の「V-Server Lite」に脆弱性 - アップデートが公開
VPN機器8.7万台分の認証情報が公開 - Fortinetが注意喚起
攻撃プランを自動生成する脆弱性評価用の模擬攻撃ツール - OSSで公開
FBI、「FortiOS」脆弱性について再度注意喚起 - 5月以降も被害が
ランサムウェア「Cring」、脆弱VPN機器を標的 - 制御システムが停止する被害も
制御システム監視制御ソフト「ScadaBR」に脆弱性
「制御システムセキュカンファレンス2021」の参加受付がスタート