三菱製シーケンサ「MELSEC」のUDP/IP通信にリソース枯渇のおそれ
三菱電機の制御システム「MELSECシリーズ」においてリリースが枯渇し、サービス拒否に陥る脆弱性が含まれていることがわかった。
大量のデータを受信している間、UDP/IPにより通信を行う「ELSOFT交信ポート」においてリソースが枯渇する脆弱性「CVE-2020-5527」が明らかとなったもの。「同iQ-Rシリーズ」「同iQ-Fシリーズ」「同Qシリーズ」「同Lシリーズ」「同Fシリーズ」が影響を受ける。
同社は、シーケンス制御など、Ethernet通信以外の機能が脆弱性の影響を受けることはないとしている。
同脆弱性は、三菱電機が利用者へ周知するためにJPCERTコーディネーションセンターへ報告したもので、同センターが調整を実施。修正プログラムを提供する予定はなく、ファイアウォールなど利用して外部からのアクセスを制限したり、接続できるIPアドレスを制限するといった緩和策の実施を呼びかけている。
(Security NEXT - 2020/03/31 )
ツイート
関連リンク
PR
関連記事
「制御システムセキュカンファレンス2021」の参加受付がスタート
三菱電機製品の「TCPプロトコルスタック」に脆弱性 - 制御システムなどに影響
横河電機の制御システム向けアラーム管理ソフトに複数脆弱性
米政府、制御システムの保護に向けた戦略を発表
富士電機の「V-Server Lite」に脆弱性 - アップデートが公開
オムロンの「PLC」にサービス拒否の脆弱性
三菱電機の一部制御システム製品に「URGENT/11」の脆弱性
オムロン製「PLC」に複数の脆弱性
システム制御製品「CX-Supervisor」の同梱「TeamViewer」に脆弱性
オムロン製の制御システムソフト「CX-Supervisor」に5件の脆弱性