Consumo de recursos no controlado en Mitsubishi Electric MELSEC iQ-R series
Mitsubishi Electric informa que la vulnerabilidad afecta a los siguientes productos de módulos de CPU de la serie MELSEC iQ-R:
- R00/01/02 CPU, versiones de firmware 19 y anteriores;
- R04/08/16/32/120 (EN) CPU, versiones de firmware 51 y anteriores;
- R08/1632/120 SFCPU, versiones de firmware 22 y anteriores;
- R08/16/32/120 PCPU, todas las versiones;
- R08/16/32/120 PSFCPU, todas las versiones;
- RJ71EN71, versiones de firmware 47 y anteriores;
- RJ71GF11-T2, versiones de firmware 47 y anteriores;
- RJ72GF15-T2, versiones de firmware 07 y anteriores;
- RJ71GP21-SX, versiones de firmware 47 y anteriores;
- RJ71GP21S-SX, versiones de firmware 47 y anteriores;
- RJ71C24(-R2/R4), todas las versiones;
- RJ71GN11-T2, versiones de firmware 11 y anteriores.
Xiaofei.Zhang ha descubierto una vulnerabilidad, de tipo consumo incontrolado de recursos y de severidad alta, que provocaría una denegación de servicio (DoS) en los productos afectados.
El fabricante recomienda actualizar a las siguientes versiones de firmware para solucionar esta vulnerabilidad:
- R00/01/02 CPU, versiones 20 o posteriores;
- R04/08/16/32/120 (EN) CPU, versiones 52 o posteriores;
- R08/16/32/120 SFCPU, versiones 23 o posteriores;
- RJ71EN71, versiones 48 o posteriores;
- RJ71GF11-T2, versiones 48 o posteriores;
- RJ72GF15-T2, versiones 08 o posteriores;
- RJ71GP21-SX, versiones 48 o posteriores;
- RJ71GP21S-SX, versiones 48 o posteriores;
- RJ71GN11-T2, versiones 12 o posteriores;
La vulnerabilidad, de tipo consumo no controlado de recursos, podría suponer una condición de denegación de servicio (DoS) en la ejecución y comunicación de los módulos de CPU de la serie MELSEC iQ-R, después de que el atacante enviase un paquete SLMP, especialmente diseñado. Se ha asignado el identificador CVE-2020-5668 para esta vulnerabilidad.
