Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Hitachi Energy

Fecha de publicación 06/10/2023
Identificador

INCIBE-2023-0425

Importancia
5 - Crítica
Recursos Afectados

Los siguientes productos y versiones de Hitachi Energy se ven afectados:

  • AFF66X FW: 03.0.02 y anteriores;
  • AFS66X-S: Todas las versiones;
  • AFS660-C: Todas las versiones;
  • AFS66X-B: Todas las versiones;
  • AFS670-V20: Todas las versiones;
  • AFS65X: Todas las versiones;
  • AFS67X: Todas las versiones;
  • AFR677: Todas las versiones.
Descripción

Hitachi Energy ha publicado 14 vulnerabilidades, de las cuales 7 son de severidad crítica y 7 de severidad alta que de ser explotadas podrían tener un gran impacto en la disponibilidad, integridad y confidencialidad de los dispositivos objetivo.

Solución
  • AFF66X FW 03.0.02 y anteriores: actualizar al próximo FW AFF66X 04.x.xx cuando se lance.
  • AFS66X-S, AFS660-C, AFS66X-B, AFS670-V20: actualizar al próximo FW AFS66X, AFS670-V20 7.1.08 cuando se lance.
  • AFS65X, AFS67X, AFR677: actualizar a AFS65X, AFS67X, AFR677 09.1.08 FW.

Se recomienda revisar las medidas de mitigación descritas en el enlace de las 'Referencias'.

Detalle

Las 7 vulnerabilidades de severidad crítica detectadas se clasifican en:

  • Desbordamiento de enteros o envoltura envolvente (CVE-2022-22822, CVE-2022-22823, CVE-2022-22824, CVE-2022-25315, CVE-2022-23852).
  • Codificación inadecuada o escape de salida (CVE-2022-25235).
  • Exposición de recursos a una esfera incorrecta (CVE-2022-25236).

Para el resto de vulnerabilidades se han asignado los siguientes identificadores: CVE-2021-45960, CVE-2021-46143, CVE-2022-22825, CVE-2022-22826, CVE-2022-22827, CVE-2022-25314 y CVE-2022-23990.