| 概要 | Incorrect Default Permissions vulnerability in GenBroker32, which is included in the installers for ICONICS GENESIS64 version 10.97.3 and prior, Mitsubishi Electric GENESIS64 version 10.97.3 and prior and Mitsubishi Electric MC Works64 all versions allows a local authenticated attacker to disclose or tamper with confidential information and data contained in the products, or cause a denial of service (DoS) condition on the products, by accessing a folder with incorrect permissions, when GenBroker32 is installed on the same PC as GENESIS64 or MC Works64. |
|---|---|
| 公表日 | 2024年10月23日8:15 |
| 登録日 | 2024年10月23日12:00 |
| 最終更新日 | 2024年11月6日2:24 |
| CVSS3.1 : HIGH | |
| スコア | 7.8 |
|---|---|
| ベクター | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 攻撃元区分(AV) | ローカル |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 低 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:iconics:genesis64:*:*:*:*:*:*:*:* | 10.97.3 | ||||
| cpe:2.3:a:mitsubishielectric:mc_works64:-:*:*:*:*:*:*:* | |||||
| タイトル | 三菱電機製GENESIS64、ICONICS Suite、MC Works64およびGENESIS32におけるインストール時の不適切なファイルアクセス権設定の脆弱性 |
|---|---|
| 概要 | 三菱電機製GENESIS64、ICONICS Suite、MC Works64およびGENESIS32には、インストール時の不適切なファイルアクセス権設定の脆弱性(CWE-276、CVE-2024-7587)が存在します。 この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 |
| 想定される影響 | 該当製品のインストーラに同梱されているGenBroker32が、GENESIS64、ICONICS Suite、MC Works64またはGENESIS32と同一のPCにインストールされている場合、攻撃者によってC:\ProgramData\ICONICSにアクセスされると、当該フォルダに保存されている機密情報やデータが漏えいまたは改ざんされたり、システムがサービス運用妨害(DoS)状態となったりする可能性があります。 |
| 対策 | [アップデートする] GENESIS64またはICONICS Suite Version 10.97.3のユーザ向け: GenBroker32をアンインストールした上で、GENESIS64またはICONICS Suiteにセキュリティアップデートを適用し、GenBroker32を再インストールしてください。 セキュリティアップデートは、<a href="https://iconicsinc.my.site.com/community" "target="blank">ICONICS Community Portal</a>からダウンロードできます。 [アップグレードする] GENESIS64またはICONICS Suite Version 10.97.2およびそれ以前のユーザ向け: GENESIS64またはICONICS Suite Version 10.97.3に製品をアップグレードし、上記の手順に従いGenBroker32を再インストールしてください。 [後続製品に移行する] MC Works64のユーザ向け: セキュリティアップデートのリリース予定はないため、開発者はGENESIS64への移行を推奨しています。 移行方法等詳細については、<a href="https://www.mitsubishielectric.co.jp/dl/fa/members/document/manual/scada/bcn-p5999-1459/bcnp59991459a.pdf" "target="blank">GENESIS64 - How to replace MC Works64 with GENESIS64_JP</a>を確認してください。 GENESIS32のユーザ向け: セキュリティアップデートのリリース予定はないため、開発者はGENESIS64への移行を推奨しています。 [ワークアラウンドを実施する] セキュリティアップデートの適用、アップグレード、後続製品への移行が難しい場合には、次の回避策および軽減策を適用してください。 回避策: GenBroker32をインストールしたPCのC:\ProgramData\ICONICSおよびその配下にある全てのフォルダの権限から”Everyone”を手動で削除してください。配下にあるフォルダも含めて、一括で権限を削除する場合は以下の手順を実施してください。 PCのC:\ProgramData\ICONICSのフォルダを右クリックしてプロパティ画面を開く セキュリティタブを開く 詳細設定をクリックする アクセス許可の変更をクリックする “Everyone”を選択して、「子オブジェクトのアクセス許可エントリすべてを、このオブジェクトから継承可能なアクセス許可エントリで置き換える」のチェックボックスにチェックを入れる 削除をクリックする 軽減策: 該当製品がインストールされたPCをLAN内で使用し、信頼できないネットワークやホスト、ユーザからのリモートログインをブロックする 該当製品がインストールされたPCをインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等を使用し、信頼できるユーザのみにリモートログインを許可する 当該製品がインストールされたPC、および同PCが接続されているネットワークへの物理的なアクセスを制限する 詳しくは、開発者が提供する情報を確認してください。 |
| 公表日 | 2024年10月22日0:00 |
| 登録日 | 2024年10月23日11:38 |
| 最終更新日 | 2026年1月9日9:29 |
| 三菱電機 |
| GENESIS32 Version 9.70.300.23およびそれ以前の全バージョン |
| GENESIS64 Version 10.97.3 およびそれ以前の全バージョン |
| ICONICS Suite Version 10.97.3 およびそれ以前の全バージョン |
| MC Works64 全バージョン |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2024年10月23日] 掲載 | 2024年10月23日10:56 |
| 2 | [2025年09月05日] 対策:内容を更新 参考情報:National Vulnerability Database (NVD) (CVE-2024-7587) を追加 |
2025年9月5日10:23 |
| 3 | [2026年01月09日] タイトル:内容を更新 概要:内容を更新 影響を受けるシステム:内容を更新 想定される影響:内容を更新 対策:内容を更新 ベンダ情報:三菱電機 (GENESIS64 および MC Works64 における情報の漏えい、改ざんおよびサービス拒否 (DoS) の脆弱性) を削除 ベンダ情報:三菱電機 (GENESIS64、ICONICS Suite、MC Works64およびGENESIS32における情報の漏えい、改ざんおよびサービス拒否(DoS)の脆弱性) を追加 |
2026年1月9日9:28 |