Denegación de servicio en productos Mitsubishi Electric
Fecha de publicación 02/11/2023
Identificador
INCIBE-2023-0467
Importancia
5 - Crítica
Recursos Afectados
Todas las versiones de:
- Series MELSEC-F:
- FX3U-xMy/z x=16,32,48,64,80,128, y=T,R, z=ES,ESS,DS,DSS;
- FX3U-32MR/UA1, FX3U-64MR/UA1;
- FX3U-32MS/ES, FX3U-64MS/ES;
- FX3U-xMy/ES-A x=16,32,48,64,80,128, y=T,R;
- FX3UC-xMT/z x=16,32,64,96, z=D,DSS;
- FX3UC-16MR/D-T, FX3UC-16MR/DS-T;
- FX3UC-32MT-LT, FX3UC-32MT-LT-2;
- FX3UC-16MT/D-P4, FX3UC-16MT/DSS-P4;
- FX3G-xMy/z x=14,24,40,60, y=T,R, z=ES,ESS,DS,DSS;
- FX3G-xMy/ES-A x=14,24,40,60, y=T,R;
- FX3GC-32MT/D, FX3GC-32MT/DSS;
- FX3GE-xMy/z x=24,40, y=T,R, z=ES,ESS,DS,DSS;
- FX3GA-xMy-CM x=24,40,60, y=T,R;
- FX3S-xMy/z x=10,14,20,30, y=T,R, z=ES,ESS,DS,DSS;
- FX3S-30My/z-2AD y=T,R, z=ES,ESS;
- FX3SA-xMy-CM x=10,14,20,30, y=T,R.
- Series MELSEC iQ-F:
- FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS;
- FX5UC-xMy/z x=32,64,96, y=T, z=D,DSS;
- FX5UC-32MT/DS-TS, FX5UC-32MT/DSS-TS, FX5UC-32MR/DS-TS;
- FX5UJ-xMy/z x=24,40,60, y=T,R, z=ES,ESS,DS,DSS;
- FX5UJ-xMy/ES-A x=24,40,60, y=T,R;
- FX5S-xMy/z x=30,40,60,80, y=T,R, z=ES,ESS.
Descripción
Mitsubishi Electric ha publicado una vulnerabilidad de severidad crítica que afecta a productos de dos series MELSEC y cuya explotación podría permitir a un atacante realizar una denegación de servicio (DoS).
Solución
El fabricante recomienda aplicar las siguientes medidas de mitigación:
- utilizar un firewall o una VPN,
- operar los productos dentro de una LAN,
- usar la función de filtrado de IP para los productos de la serie MELSEC iQ-F,
- restringir el acceso físico a los productos.
Detalle
La verificación insuficiente de la autenticidad de los datos en los productos afectados podría permitir a un atacante remoto resetear por defecto, a nivel de fábrica, la memoria provocando una DoS mediante el envío de paquetes maliciosos. Se ha asignado el identificador CVE-2023-4699 para esta vulnerabilidad.
Listado de referencias
