Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Denegación de servicio en productos Mitsubishi Electric

Fecha de publicación 28/07/2021
Importancia
3 - Media
Recursos Afectados

Mitsubishi Electric informa que esta vulnerabilidad afecta a la función de comunicación esclava MODBUS/TCP de los siguientes productos:

  • GOT2000 modelos GT27, GT25, GT23: todas las versiones de controladores de comunicación entre 01.19.000 y 01.39.010. Estas versiones se ven afectadas cuando se utiliza el controlador de comunicación "MODBUS/TCP Slave, Gateway".
  • GT SoftGOT2000: todas las versiones entre 1.170C y 1.256S. Estas versiones se ven afectadas cuando se configuran para utilizar la comunicación "MODBUS/TCP Slave".
Descripción

Parul Sindhwad y Dr. Faruk Kazi, investigadores de COE-CNDS Lab VJTI, han notificado una vulnerabilidad de severidad media, que podría permitir a un atacante causar una denegación de servicio.

Solución

Mitsubishi Electric recomienda a los usuarios actualizar las siguientes versiones:

  • GOT2000 modelos GT27, GT25, GT23: actualizar el controlador de comunicación a la versión 01.40.000 o posteriores. El controlador de comunicación actualizado se incluye en GT Designer3 Version1(GOT2000) versión 1.260W o posterior.
  • GT SoftGOT2000: actualizar a la versión 1.26W o posteriores.

Las instrucciones específicas para realizar estas actualizaciones se encuentran en el aviso del fabricante.

Detalle

Un atacante podría detener la función de comunicación de los productos conectando y desconectando rápida y repetidamente el puerto de comunicación MODBUS/TCP en el GOT, lo que podría causar una condición de denegación de servicio (DoS). Es necesario reiniciar el hardware y el software para recuperar la funcionalidad. Se ha asignado el identificador CVE-2021-20592 para esta vulnerabilidad.

Encuesta valoración