HMI GC-A2シリーズの複数の脆弱性
2025.03.24
1.脆弱性の概要
HMI GC-A2シリーズに脆弱性が発見されましたので、その内容と対処方法をお知らせします。
内容をご確認の上、以下の対処を実施いただきますよう、お願い申し上げます。
2.対象製品
本脆弱性の影響を受ける製品の型番、およびバージョンは以下の通りです。
| 型番 | ファームウェアバージョン |
|---|---|
| GC-A22W-CW | 全バージョン |
| GC-A24W-C(W) | 全バージョン |
| GC-A26W-C(W) | 全バージョン |
| GC-A24 | 全バージョン |
| GC-A24-M | 全バージョン |
| GC-A25 | 全バージョン |
| GC-A26 | 全バージョン |
| GC-A26-J2 | 全バージョン |
| GC-A27-C | 全バージョン |
| GC-A28-C | 全バージョン |
3.説明
HMI GC-A2シリーズには、次の複数の脆弱性が存在します。
3-1.意図しない通信の中継 (CWE-441)
CVSS v3 AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N 基本値 5.8
CVE-2025-25061
3-2.Modbus TCP Slaveプロトコルにおけるサービス運⽤妨害(DoS) (CWE-770)
CVSS v3 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値 5.3
CVE-2025-24317
4.想定される影響
特定のポートに不正なパケットを送信されることによりサービス運⽤妨害(DoS)攻撃を受け、サービスが停止する可能性があります。サービス停止状態からの復旧にはHMIの再起動が必要になります。
HMIを中継点にして別のホストを攻撃する FTPバウンス攻撃に利用される可能性があります。
5.軽減策・回避策
HMI GC-A2シリーズをインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等を使用し、不正アクセスを防止してください。
内部ネットワーク内でのみアクセス可能にすることで、攻撃のリスクを軽減してください。