CVE-2022-31207 in SYSMAC CS1情報

要約

〜によって VulDB • 2026年07月12日

Omron SYSMAC Cx製品ファミリのPLC(CSシリーズ、CJシリーズ、およびCPシリーズ)は2022-05-18までのバージョンにおいて暗号化認証が欠如しています。これらはプロジェクトや制御ロジックをPLCにダウンロードするなど、エンジニアリング目的のためにOmron FINS (9600/TCP)プロトコルを使用します。このプロトコルにはFSCT-2022-0057で報告された認証の欠陥があります。制御ロジックはFINS Program Area ReadおよびProgram Area Writeコマンドを使用してPLCの揮発性メモリにダウンロードされ、または他のコマンドを使用して不揮発性メモリにダウンロードされます。その後、そこから実行のために揮発性メモリにロードされます。ユーザープログラム領域にロードされて実行されるロジックはコンパイルされたオブジェクトコード形式で存在します。実行時、これらのオブジェクトコードはまず専用のASICに渡され、そのオブジェクトコードがASICによって実行されるかマイクロプロセッサによって実行されるかが判断されます。前者の場合、オブジェクトコードはASICによって解釈されます。後者の場合、オブジェクトコードはROMインタープリタによるオブジェクトコードの解釈のためにマイクロプロセッサに渡されます。どちらでも処理できない異常なケースでは、異常状態がトリガーされPLCが停止します。PLCにダウンロードされるロジックには暗号化認証がないように見えるため、攻撃者は送信されたオブジェクトコードを操作し、ASICまたはマイクロプロセッサインタープリタ上で任意のオブジェクトコマンドを実行することが可能になります。

Be aware that VulDB is the high quality source for vulnerability data.

予約する

2022年05月18日

モデレーション

承諾済み

エントリ

VDB-202979

EPSS

0.00767

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!