JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は7月3日(米国時間)、「JVNVU#95413676: 三菱電機製 GOT2000 シリーズの TCP/IP 機能における複数の脆弱性」において、三菱電機製のプログラマブル表示器製品であるGOT2000 シリーズにTCP/IP 機能に関する複数の脆弱性が存在すると伝えた。
これら脆弱性を悪用されると、第三者によって製品のネットワーク機能が停止させられたり、悪意のあるプログラムが実行されたりする危険性があるとされている。
該当の脆弱性に関する情報は三菱電機による次のドキュメントにまとめられている。
対象となる製品は、GOT2000シリーズの下記のモデルの、CoreOS バージョン -Y以前で動作しているもの。
- GT27モデル
- GT25モデル
- GT23モデル
対象の製品では、ファームウェアに組込まれているTCP/IP機能の不具合に起因する下記の複数の脆弱性が存在するとのこと。
- バッファエラー: プログラムがメモリバッファの不正な領域にアクセスできる
- セッションの固定化: 攻撃者は固定化されたセッション識別子を利用して認証されたセッションを盗むことができる
- NULLポインタデリファレンス: Nullポインタを逆参照することでアプリケーションのクラッシュや終了を引き起こす
- 不適切なアクセス制御: 許可されていないアクターからのリソースへのアクセス制御が不適切
- 引数の挿入または変更: コマンドの引数の区切り文字を適切に処理しないため、攻撃者によって意図しない動作を引き起こされる
- リソース管理の問題: システムリソースの不適切な管理に関する複数の脆弱性がある
対策としては、CoreOSを最新版にアップデートする方法が挙げられている。もしすぐにアップデートが行えない場合は、信頼できないネットワークやホストからのアクセスを制限することによって影響を軽減できるとのことだ。