三菱電機製品の「TCPプロトコルスタック」に脆弱性 - 制御システムなどに影響
三菱電機の製品で採用されているTCPプロトコルスタックに脆弱性が含まれていることが明らかとなった。制御システムなど、幅広い製品が影響を受ける。
セッション管理不備の脆弱性「CVE-2020-16226」が判明したもの。「なりすまし」に悪用されるおそれがあり、任意のコマンドを実行され、情報の漏洩や改ざん、破壊などが生じるおそれがある。
シーケンサ「MELSECシリーズ」やインバータ「FREQROLシリーズ」をはじめ、ロボット「MELFAシリーズ」、ACサーボ「MELSERVOシリーズ」、データ収集アナライザ「MELQIC IU1-1M20-D」、テンションコントローラ「LE7-40GU-L」、表示機「GOTシリーズ」、省エネデマンド監視サーバ「E-Energyシリーズ」など幅広い製品が影響を受けるという。
三菱電機では、同脆弱性の周知のため、JPCERTコーディネーションセンターへ報告。調整を経て公開された。脆弱性を修正するアップデートが提供されているほか、ファイアウォールやVPNによるアクセスの制御など、緩和策がアナウンスされている。
(Security NEXT - 2020/09/01 )
ツイート
PR
関連記事
「FortiOS」の「SSL VPN」脆弱性に関するアドバイザリを更新
「Splunk Enterprise」にアップデート - 「クリティカル」脆弱性など解消
「Cisco ISE」にRCE脆弱性 - 端末の接続に影響するおそれも
ロードバランサ「HAProxy」に脆弱性 - 同期破壊のおそれ
「Webmin」に認証バイパスなど複数の脆弱性 - 最新版で修正
6月公表の「Splunk Enterprise」脆弱性、悪用を確認
FWやVPNの認証情報を攻撃者が大量保有 - 「FortiBleed」に要警戒
「nginx」に複数のクリティカル脆弱性 - 修正版が公開
「Splunk」向けのAI拡張ツールに複数の脆弱性
「Chrome」が脆弱性33件を修正 - 「クリティカル」7件
