三菱電機製空調管理システムに複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は7月1日、三菱電機製空調管理システムにおける複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

XML 外部実体参照 (XXE) の不適切な制限に関する脆弱性
・空調管理システム/集中コントローラ―
　G-50 Ver.3.35 およびそれ以前
　G-50-W Ver.3.35 およびそれ以前
　GB-50 Ver.3.35 およびそれ以前
　G-150AD Ver.3.20 およびそれ以前
　GB-50AD Ver.3.20 およびそれ以前
　AE-200J Ver.7.93 およびそれ以前
　AE-50J Ver.7.93 およびそれ以前
　EW-50J Ver.7.93 およびそれ以前
・空調管理システム/拡張コントローラー
　PAC-YG50EC Ver.2.20 およびそれ以前
・空調管理システム/BMアダプター
　PAC-YW01BAC Ver.5.13 およびそれ以前
　PAC-YW51BAC Ver.8.11 およびそれ以前

WEB 機能の認証アルゴリズムの不適切な実装に関する脆弱性
・空調管理システム/集中コントローラー
　G-50 Ver.2.50 から 3.35 まで
　G-50-W Ver.2.50 から 3.35 まで
　GB-50 Ver.2.50 から 3.35 まで
　G-150AD Ver.3.20 およびそれ以前
　GB-50AD Ver.3.20 およびそれ以前
　AE-200J Ver.7.93 およびそれ以前
　AE-50J Ver.7.93 およびそれ以前
　EW-50J Ver.7.93 およびそれ以前
・空調管理システム/拡張コントローラー
　PAC-YG50EC Ver.2.20 およびそれ以前

　三菱電機製空調管理システムには、XML 外部実体参照 (XXE) の不適切な制限に関する脆弱性が存在し、遠隔の第三者によって細工された不正なパケットを当該製品が受信すると、当該機器内部の一部の情報が漏えいしたり、当該機器がサービス運用妨害（DoS）状態になったりする可能性がある。

　また、三菱電機製空調管理システムの WEB 機能には、認証アルゴリズムの不適切な実装に関する脆弱性が存在し、当該製品の WEB 機能にログイン可能な遠隔の第三者によって、権限昇格により当該製品の管理者権限で操作され、その結果、当該空調管理システムの設定情報を取得されたり、空調機器の運転操作や設定値といった設定情報を改ざんされたりする可能性がある。

　JVNでは各製品および型番に対応したアップデートを適用するか、以下の回避策を適用し脆弱性の影響を軽減するよう呼びかけている。

・インターネット等の外部ネットワークへ接続する場合は、VPN ルーター等を使用する
・該当製品へアクセス可能なパソコンにウイルス対策ソフトを搭載する
・該当製品へのアクセスを、信頼できるネットワークやホストからのアクセスのみに制限する
・工場出荷時のユーザー名とパスワードを変更する

元の記事を読む