三菱製シーケンサ「MELSEC」のUDP/IP通信にリソース枯渇のおそれ

三菱電機の制御システム「MELSECシリーズ」においてリリースが枯渇し、サービス拒否に陥る脆弱性が含まれていることがわかった。

大量のデータを受信している間、UDP/IPにより通信を行う「ELSOFT交信ポート」においてリソースが枯渇する脆弱性「CVE-2020-5527」が明らかとなったもの。「同iQ-Rシリーズ」「同iQ-Fシリーズ」「同Qシリーズ」「同Lシリーズ」「同Fシリーズ」が影響を受ける。

同社は、シーケンス制御など、Ethernet通信以外の機能が脆弱性の影響を受けることはないとしている。

同脆弱性は、三菱電機が利用者へ周知するためにJPCERTコーディネーションセンターへ報告したもので、同センターが調整を実施。修正プログラムを提供する予定はなく、ファイアウォールなど利用して外部からのアクセスを制限したり、接続できるIPアドレスを制限するといった緩和策の実施を呼びかけている。

（Security NEXT - 2020/03/31 ） ツイート

PR

関連記事

ランサムウェア「Cring」、脆弱VPN機器を標的 - 制御システムが停止する被害も
制御システム監視制御ソフト「ScadaBR」に脆弱性
「制御システムセキュカンファレンス2021」の参加受付がスタート
三菱電機製品の「TCPプロトコルスタック」に脆弱性 - 制御システムなどに影響
横河電機の制御システム向けアラーム管理ソフトに複数脆弱性
米政府、制御システムの保護に向けた戦略を発表
富士電機の「V-Server Lite」に脆弱性 - アップデートが公開
オムロンの「PLC」にサービス拒否の脆弱性
三菱電機の一部制御システム製品に「URGENT/11」の脆弱性
オムロン製「PLC」に複数の脆弱性