Consumo de recursos no controlado en MELSEC-Q Series de Mitsubishi Electric

Fecha de publicación 22/05/2019
Importancia
4 - Alta
Recursos Afectados
  • Módulo de Ethernet QJ71E71-100 de MELSEC-Q Series, con número de serie 20121 y anteriores.
Descripción

Los investigadores Younes Dragoni y Alessandro Di Pinto, de Nozomi Networds, han reportado una vulnerabilidad de tipo consumo de recursos no controlado. La explotación exitosa de esta vulnerabilidad, por parte de un atacante, puede hacer que el dispositivo no responda, teniendo que reiniciar físicamente el PLC.

Solución
  • El fabricante recomienda actualizar el módulo QJ71E71-100 a la versión de firmware 20122 para solventar esta vulnerabilidad.
Detalle
  • Un atacante podría enviar paquetes TCP, específicamente diseñados, contra el servicio FTP, forzando a los dispositivos de destino a entrar en un modo de error y provocar una condición de denegación de servicio. Se ha reservado el CVE-2019-10977 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Advisory (ICSA-19-141-02) Mitsubishi Electric MELSEC-Q Series Ethernet Module
Etiquetas