Múltiples vulnerabilidades en productos Mitsubishi Electric

Fecha de publicación 21/12/2023
Importancia
4 - Alta
Recursos Afectados
  • GT SoftGOT2000, versiones de la 1.275M a la 1.290C;
  • OPC UA data collector, versiones 1.04E y anteriores;
  • MX OPC Server UA (software empaquetado con MC Works64), versión 3.05F y posteriores (empaquetado con MC Works64 Version 4.03D y porteriores);
  • OPC UA server unit, todas las versiones;
  • FX5-OPC, versiones 1.006 y anteriores.
Descripción

Mitsubishi Electric ha reportado dos vulnerabilidades de severidad alta y una de severidad media, cuya explotación podría permitir a un atacante realizar una divulgación de información o provocar una condición de denegación de servicio (DoS).

Solución

Mitsubishi Electric recomienda que los clientes tomen las siguientes medidas de mitigación para minimizar el riesgo de explotar las vulnerabilidades reportadas:

  • GT SoftGOT2000: actualizar el producto a la versión 1.295H o posterior.
  • OPC UA data collector: actualizar el producto a la versión 1.05F o posterior
  • MX OPC Server UA: llevar a cabo las medidas paliativas incluidas en el apartado "Mitigations" del artículo incluido en las referencias.
  • OPC UA server unit: llevar a cabo las medidas paliativas incluidas en el apartado "Mitigations" del artículo incluido en las referencias.
  • FX5-OPC: actualizar el producto a la versión 1.010F o posterior.
Detalle
  • Vulnerabilidad de denegación de servicio (DoS) debida a un Double Free (CWE-4153) al leer un archivo PEM. Se ha asignado el identificador CVE-2022-4450 para esta vulnerabilidad.
  • Se ha detectado una vulnerabilidad de divulgación de información y denegación de servicio (DoS) debida al acceso a un recurso utilizando un tipo incompatible, relacionada con el procesamiento de direcciones X.400 dentro de un GeneralName X.509. Se ha asignado el identificador CVE-2023-0286 para esta vulnerabilidad.
  • Vulnerabilidad de divulgación de información debido a la discrepancia de tiempo observable en implementaciones de descifrado RSA. Se ha asignado el identificador CVE-2022-4304 para esta vulnerabilidad.
Listado de referencias
Multiple Vulnerabilities due to OpenSSL Vulnerabilities in multiple FA products R
ICSA-24-004-02 - Mitsubishi Electric Factory Automation Products
Etiquetas