2023] Múltiples vulnerabilidad en MELSEC iQ-F Series de Mitsubishi Electric

Fecha de publicación

23/05/2023

Importancia

5 - Crítica

Recursos Afectados

MELSEC iQ-F Series, versiones 1.220 y posteriores:
- FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS;
- FX5UC-xMy/z x=32,64,96, y=T, z=D,DSS;
- FX5UC-32MT/DS-TS, FX5UC-32MT/DSS-TS, FX5UC-32MR/DS-TS.
[Actualización 06/07/2023] MELSEC iQ-R Series:
- R00/01/02CPU, versiones 35 y anteriores;
- R04/08/16/32/120(EN)CPU, versiones desde 12 hasta 68;
- R08/16/32/120SFCPU, versiones 26 y posteriores;
[Actualización 13/09/2023]
- R08/16/32/120PCPU, versiones desde la 3 y hasta la 37 incluida.

Descripción

Matt Wiseman, de Cisco Talos, ha informado de una vulnerabilidad de denegación de servicio y de ejecución de código malintencionado en los módulos CPU de la serie MELSEC.

Solución

[Actualización 06/07/2023] Mitsubishi Electric recomienda actualizar los productos afectados a la versión 1.290 o posteriores, 36 o posteriores y 69 o posteriores.

Mitsubishi Electric recomienda actualizar los productos afectados a la versión 1.290 o posteriores.

A su vez, Mitsubishi Electric recomienda que los clientes tomen las siguientes medidas de mitigación para minimizar el riesgo:

Utilizar un cortafuegos o una red privada virtual (VPN), etc.
Utilizarlo dentro de una LAN y bloquear el acceso desde redes y hosts no fiables.
Utilizar la función de filtro IP para bloquear el acceso desde hosts que no sean de confianza.
Restringir el acceso físico a la LAN conectada por los productos afectados.

Detalle

Un atacante remoto podría provocar una denegación de servicio (DoS) o ejecutar código malicioso en el producto objetivo mediante el envío de paquetes especialmente diseñados.

Se ha asignado el identificador CVE-2023-1424 para esta vulnerabilidad.

Listado de referencias

[Actualización 06/07/2023] Denial-of-Service and Malicious Code Execution Vulnerability in MELSEC Series CPU module

ICSA-23-143-03 - Mitsubishi Electric MELSEC Series CPU module

Etiquetas