2023] Omisión de autenticación en MELSEC WS Series de Mitsubishi Electric

Fecha de publicación 18/05/2023

Importancia

4 - Alta

Recursos Afectados

Todas las versiones de MELSEC WS Series WS0-GETH00200.

Descripción

Mitsubishi Electric ha publicado una vulnerabilidad de severidad alta que podría facilitar a un atacante conectarse a través de Telnet y realizar acciones indebidas, manipular la configuración del módulo, o reescribir la firma.

Solución

La compañía recomienda cambiar la contraseña de Telnet por una más robusta y establecer otras medidas de mitigación.

Para más información, consultar el aviso original en las referencias.

[Actualización 03/06/2023]

Se ha corregido la vulnerabilidad en el siguiente número de serie: MELSEC WS Series WS0-GETH00200, "2311 ****" o posteriores.

Detalle

Los productos afectados por la vulnerabilidad de severidad alta reportada cuentan con la función Telnet oculta, habilitada por defecto. La explotación de esta vulnerabilidad podría permitir a un atacante remoto, no autenticado, iniciar sesión en el módulo afectado conectándose a él a través de Telnet.

Como resultado, el atacante puede reiniciar el módulo y, si se cumplen ciertas condiciones, puede revelar o manipular la configuración del módulo, reescribir la firma o el firmware.

Se ha asignado el identificador CVE-2023-1618 para esta vulnerabilidad.

Listado de referencias

Authentication Bypass Vulnerability in MELSEC WS Series Ethernet Interface Module

ICSA-23-138-02 - Mitsubishi Electric MELSEC WS Series

Etiquetas