| Summary | Improper Validation of Specified Quantity in Input vulnerability in Mitsubishi Electric CNC Series allows a remote unauthenticated attacker to cause Denial of Service (DoS) condition on the product by sending specially crafted packets to TCP port 683, causing an emergency stop. |
|---|---|
| Publication Date | Oct. 18, 2024, 7:15 a.m. |
| Registration Date | Oct. 18, 2024, 4 p.m. |
| Last Update | Oct. 18, 2024, 9:52 p.m. |
| Title | 三菱電機製数値制御装置における数値の入力に対する不適切な検証 |
|---|---|
| Summary | 三菱電機製数値制御装置 (CNC) には、数値の入力に対する不適切な検証に起因する脆弱性 (CWE-1284、CVE-2024-7316) が存在します。 この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 |
| Possible impacts | 当該製品の TCP 683 番ポート宛に送信された、細工された不正なパケットを処理すると、当該製品がサービス運用妨害 (DoS) 状態となる可能性があります。 なお、復旧には、システムのリセットが必要です。 |
| Solution | <b>対策版が提供されている場合:</b> [アップデートする] <a href="https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2024-007.pdf" target="blank">開発者が提供する情報</a>の「■製品での対応」箇所を確認し、対策版が提供されている製品を利用している場合は、三菱電機窓口や三菱電機の支社、代理店へ相談をしてください。 <a href="https://www.mitsubishielectric.co.jp/fa/support/purchase/index.html" target="blank">お問い合わせ|三菱電機FA</a> <b>対策版が提供されていない場合:</b> [ワークアラウンドを実施する] 対策版がリリースされていない製品を利用している場合、開発者は次の回避策を適用することを推奨しています。 * 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用し、不正アクセスを防止する * 当該製品を LAN 内で使用し、信頼できないネットワークやホストからのアクセスをファイアウォールでブロックする * IP アドレスフィルタ機能(※1)を使用し、信頼できないホストからのアクセスをブロックする * 当該製品および当該製品が接続された LAN への物理的なアクセスを制限する (※1)IP アドレスフィルタ機能の詳細は、開発者が提供する次の取扱説明書を参照 * M800V/M80V シリーズ 取扱説明書「16. 付録3 IPアドレスフィルタ機能」 * M800/M80/E80 シリーズ 取扱説明書「15. 付録2 IPアドレスフィルタ機能」 |
| Publication Date | Oct. 17, 2024, midnight |
| Registration Date | Oct. 18, 2024, 12:10 p.m. |
| Last Update | Feb. 25, 2025, 4:19 p.m. |
| 三菱電機 |
| (複数の製品) |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2024年10月18日] 掲載 | Oct. 18, 2024, 10:29 a.m. |
| 2 | [2024年10月22日] 参考情報:ICS-CERT ADVISORY (ICSA-24-291-03) を追加 |
Oct. 22, 2024, 11:43 a.m. |
| 3 | [2025年02月25日] 対策:内容を更新 |
Feb. 25, 2025, 4:10 p.m. |