Denegación de servicio en productos Mitsubishi Electric

Fecha de publicación: 28/07/2021

Importancia:
Media

Recursos afectados:

Mitsubishi Electric informa que esta vulnerabilidad afecta a la función de comunicación esclava MODBUS/TCP de los siguientes productos:

• GOT2000 modelos GT27, GT25, GT23: todas las versiones de controladores de comunicación entre 01.19.000 y 01.39.010. Estas versiones se ven afectadas cuando se utiliza el controlador de comunicación “MODBUS/TCP Slave, Gateway”.
• GT SoftGOT2000: todas las versiones entre 1.170C y 1.256S. Estas versiones se ven afectadas cuando se configuran para utilizar la comunicación “MODBUS/TCP Slave”.

Descripción:

Parul Sindhwad y Dr. Faruk Kazi, investigadores de COE-CNDS Lab VJTI, han notificado una vulnerabilidad de severidad media, que podría permitir a un atacante causar una denegación de servicio.

Solución:

Mitsubishi Electric recomienda a los usuarios actualizar las siguientes versiones:

• GOT2000 modelos GT27, GT25, GT23: actualizar el controlador de comunicación a la versión 01.40.000 o posteriores. El controlador de comunicación actualizado se incluye en GT Designer3 Version1(GOT2000) versión 1.260W o posterior.
• GT SoftGOT2000: actualizar a la versión 1.26W o posteriores.

Las instrucciones específicas para realizar estas actualizaciones se encuentran en el aviso del fabricante.

Detalle:

Un atacante podría detener la función de comunicación de los productos conectando y desconectando rápida y repetidamente el puerto de comunicación MODBUS/TCP en el GOT, lo que podría causar una condición de denegación de servicio (DoS). Es necesario reiniciar el hardware y el software para recuperar la funcionalidad. Se ha asignado el identificador CVE-2021-20592 para esta vulnerabilidad.

Etiquetas:
Actualización, Comunicaciones, Infraestructuras críticas, SCADA, Vulnerabilidad