[Actualización 13/10/2022] Múltiples vulnerabilidades en productos de la serie MELSEC iQ-R de Mitsubishi Electric
Fecha de publicación 06/08/2021
Importancia
4 - Alta
Recursos Afectados
Los siguientes módulos de CPU de la serie MELSEC iQ-R:
- R08/16/32/120SFCPU, todas las versiones de firmware;
- R08/16/32/120PSFCPU, todas las versiones de firmware.
Descripción
Se han publicado 3 vulnerabilidades que afectan a productos Mitsubishi Electric que podrían permitir a un atacante la divulgación de información, el acceso no autorizado o la evasión de autenticación.
Solución
- Mitsubishi Electric está trabajando en una actualización que publicará en el futuro.
- Mientras tanto, recomienda seguir las siguientes medidas de mitigación:
- utilizar un cortafuegos o una red privada virtual (VPN), etc., para impedir el acceso no autorizado cuando se requiera el acceso a Internet.
- utilizar los equipos dentro de una LAN y bloquear el acceso desde redes y hosts no confiables a través de cortafuegos.
- utilizar la función de filtro IP para restringir las direcciones IP accesibles.
[Actualización 13/10/2022] El fabricante ha publicado las versiones de firmware "27" o superiores para solucionar las vulnerabilidades en R08/16/32/120SFCPU.
Detalle
- Un atacante remoto puede adquirir nombres de usuario legítimos registrados en el módulo mediante un ataque de fuerza bruta a los nombres de usuario para obtener información sensible. Se ha asignado el identificador CVE-2021-20594 para esta vulnerabilidad.
- Al registrar la información del usuario en el módulo de la CPU o cambiar la contraseña, un atacante remoto puede interceptar el tráfico de la red y obtener las credenciales, pudiendo ser capaz de iniciar sesión en el módulo de la CPU sin autorización. Se ha asignado el identificador CVE-2021-20597 para esta vulnerabilidad.
- Un atacante remoto puede obtener las credenciales, y podría ser capaz de iniciar sesión en el módulo de la CPU sin autorización. Se ha asignado el identificador CVE-2021-20598 para esta vulnerabilidad.
Listado de referencias
Etiquetas