2022] Múltiples vulnerabilidades en productos Mitsubishi Electric FA

Fecha de publicación 31/03/2022

Importancia

4 - Alta

Recursos Afectados

Serie iQ-F, módulos:
- FX5U(C) CPU, todas las versiones;
- FX5UJ CPU, todas las versiones.

[Actualización 31/05/2022]

Serie iQ-R, módulos listados en el aviso del fabricante;
Serie Q, módulos listados en el aviso del fabricante;
Serie L, módulos listados en el aviso del fabricante.

Descripción

Se han publicado 6 vulnerabilidades: 2 de severidad alta y 4 medias, que podrían permitir a un atacante no autenticado acceder a los productos y divulgar o manipular la información de los mismos.

Solución

El fabricante recomienda tomar las siguientes medidas de mitigación:

utilizar una VPN cuando se comunique a través de redes o hosts no confiables;
utilizar cortafuegos o la función de filtro IP para restringir las conexiones a los productos y evitar el acceso desde redes o hosts no fiables. Para obtener más información, puede consultar "12.1 Función de filtro IP" en el manual del usuario de MELSEC iQ-F FX 5 (Comunicación Ethernet).
[Actualización 31/05/2022] Para más detalles sobre el filtrado de IP en los productos afectados, consultar los respectivos manuales de cada producto afectado.

Detalle

Las vulnerabilidades publicadas son del tipo:

Uso del hash de la contraseña en lugar de la contraseña para la autenticación. Se han asignado los identificadores CVE-2022-25155 y CVE-2022-25157 para estas vulnerabilidades.
Uso de hash débil. Se ha asignado el identificador CVE-2022-25156 para esta vulnerabilidad.
Almacenamiento en texto claro de información sensible. Se han asignado los identificadores CVE-2022-25158 y CVE-2022-25160 para estas vulnerabilidades.
Anulación de la autenticación mediante capture-replay. Se ha asignado el identificador CVE-2022-2559 para esta vulnerabilidad