Denegación de servicio en MELSEC iQ-F series de Mitsubishi Electric

Fecha de publicación: 17/05/2022

Importancia:
Alta

Recursos afectados:

  • MELSEC iQ-F series:
    • FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS, versiones anteriores a la 1.270;
    • FX5UC-xMy/z x=32,64,96, y=T,R, z=D,DSS, versiones anteriores a la 1.270;
    • FX5UC-32MT/DS-TS, FX5UC-32MT/DSS-TS, FX5UC-32MR/DS-TS, versiones anteriores a la 1.270;
    • FX5UJ-xMy/z x=24,40,60, y=T,R, z=ES,ESS, versiones anteriores a la 1.030.

Descripción:

Anton Dorfman, de Positive Technologies, ha reportado 2 vulnerabilidades, 1 de severidad alta y otra media, a Mitsubishi Electric que podrían permitir a un atacante la denegación del servicio.

Solución:

  • Actualizar MELSEC iQ-F series a:
    • FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS, versión 1.270 o superior;
    • FX5UC-xMy/z x=32,64,96, y=T,R, z=D,DSS, versión 1.270 o superior;
    • FX5UC-32MT/DS-TS, FX5UC-32MT/DSS-TS, FX5UC-32MR/DS-TS, versión 1.270 o superior;
    • FX5UJ-xMy/z x=24,40,60, y=T,R, z=ES,ESS, versión 1.030 o superior.

Mitsubishi Electric recomienda a sus clientes las siguientes medidas de mitigación:

  • utilizar un firewall, VPN, etc., para prevenir el acceso no autorizado cuando es necesario el acceso a servidores desde Internet;
  • utilizar firewall o la función de filtrado de IP, para restringir las conexiones a los productos y prevenir el acceso desde redes o servidores no confiables.

Detalle:

La validación de entrada inadecuada podría permitir a un atacante que envíe paquetes especialmente diseñados, la denegación del servicio en la ejecución de un programa del producto o la comunicación. Se han asignado los identificadores CVE-2022-25161 y CVE-2022-25162 para estas vulnerabilidades.

Encuesta valoración

Etiquetas:
Actualización, Comunicaciones, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.