Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Omisión de autenticación en MELSEC-F de Mitsubishi Electric

Fecha de publicación 03/07/2023
Identificador

INCIBE-2023-0249

Importancia
4 - Alta
Recursos Afectados

Todas las versiones de MELSEC-F series en los productos:

  • FX3U-xMy/z x=16,32,48,64,80,128, y=T,R, z=ES,ESS,DS,DSS *1;
  • FX3U-32MR/UA1, FX3U-64MR/UA1 *1;
  • FX3U-32MS/ES, FX3U-64MS/ES *1;
  • FX3U-xMy/ES-A x=16,32,48,64,80,128, y=T,R *1*2;
  • FX3UC-xMT/z x=16,32,64,96, z=D,DSS *1;
  • FX3UC-16MR/D-T, FX3UC-16MR/DS-T *1;
  • FX3UC-32MT-LT, FX3UC-32MT-LT-2 *1;
  • FX3UC-16MT/D-P4, FX3UC-16MR/DSS-P4 *1*2;
  • FX3G-xMy/z x=14,24,40,60, y=T,R, z=ES,ESS,DS,DSS *1;
  • FX3G-xMy/ES-A x=14,24,40,60, y=T,R *1*2;
  • FX3GC-32MT/D, FX3GC-32MT/DSS *1;
  • FX3GE-xMy/z x=24,40, y=T,R, z=ES,ESS,DS,DSS *2;
  • FX3GA-xMy-CM x=24,40,60, y=T,R *1*2;
  • FX3S-xMy/z x=10,14,20,30, y=T,R, z=ES,ESS,DS,DSS *1;
  • FX3S-30My/z-2AD y=T,R, z=ES,ESS *1;
  • FX3SA-xMy-CM x=10,14,20,30, y=T,R *1*2.
Descripción

Chun Liu, Xin Che, Ruilong Deng, Peng Cheng y Jiming Chen, de 307LAB (Zhejiang University), han reportado una vulnerabilidad de severidad alta que podría permitir a un atacante cancelar la configuración de la contraseña e iniciar sesión en el producto mediante el envío de maquetes diseñados.

Solución

Mitsubishi Electric recomienda que los clientes tomen las siguientes medidas de mitigación para minimizar el riesgo de explotar esta vulnerabilidad:

  • Utilizar un firewall o una red privada virtual (VPN), etc. para evitar el acceso no autorizado cuando se requiera acceso a Internet.
  • Usarlo dentro de una LAN y bloquar el acceso desde redes y hosts no confiables a través de firewalls.
  • Restringir el acceso físico a los productos afectados y la LAN a la que están conectados.
Detalle

La vulnerabilidad de severidad alta detectada podría provocar una omisión de autenticación por capture-replay en los módulos principales de la serie MELSEC-F. Un atacante remoto podría cancelar la configuración de contraseña o palabra clave e iniciar sesión en el producto mediante el envío de paquetes especialmente diseñados.

Se ha asignado el identificador CVE-2023-2846 para esta vulnerabilidad.