Denegación de servicio en productos Mitsubishi Electric
Mitsubishi Electric informa que esta vulnerabilidad afecta a la función de comunicación esclava MODBUS/TCP de los siguientes productos:
- GOT2000 modelos GT27, GT25, GT23: todas las versiones de controladores de comunicación entre 01.19.000 y 01.39.010. Estas versiones se ven afectadas cuando se utiliza el controlador de comunicación "MODBUS/TCP Slave, Gateway".
- GT SoftGOT2000: todas las versiones entre 1.170C y 1.256S. Estas versiones se ven afectadas cuando se configuran para utilizar la comunicación "MODBUS/TCP Slave".
Parul Sindhwad y Dr. Faruk Kazi, investigadores de COE-CNDS Lab VJTI, han notificado una vulnerabilidad de severidad media, que podría permitir a un atacante causar una denegación de servicio.
Mitsubishi Electric recomienda a los usuarios actualizar las siguientes versiones:
- GOT2000 modelos GT27, GT25, GT23: actualizar el controlador de comunicación a la versión 01.40.000 o posteriores. El controlador de comunicación actualizado se incluye en GT Designer3 Version1(GOT2000) versión 1.260W o posterior.
- GT SoftGOT2000: actualizar a la versión 1.26W o posteriores.
Las instrucciones específicas para realizar estas actualizaciones se encuentran en el aviso del fabricante.
Un atacante podría detener la función de comunicación de los productos conectando y desconectando rápida y repetidamente el puerto de comunicación MODBUS/TCP en el GOT, lo que podría causar una condición de denegación de servicio (DoS). Es necesario reiniciar el hardware y el software para recuperar la funcionalidad. Se ha asignado el identificador CVE-2021-20592 para esta vulnerabilidad.