Múltiples vulnerabilidades en productos Mitsubishi Electric

Fecha de publicación: 24/11/2022

Importancia:
Crítica

Recursos afectados:

• GX Works3, versiones (consultar el listado concreto de vulnerabilidades que afecta a cada versión en el aviso del fabricante):
  • 1.000A o posteriores y 1.011M y anteriores;
  • 1.015R o posteriores y 1.086Q y anteriores;
  • 1.087R o posteriores.
• MX OPC UA Module Configurator-R, todas las versiones.
• GOT2000 Series, versiones 01.39.000 y anteriores de los modelos:
  • GT27,
  • GT25,
  • GT23.

Descripción:

Varios investigadores han identificado 11 vulnerabilidades en productos de Mitsubishi Electric, siendo 1 de severidad crítica, 2 altas, 7 medias y 1 baja. La explotación de estas vulnerabilidades podría permitir a un atacante acceder a módulos, ejecutar programas ilegales y causar una condición de denegación de servicio (DoS).

Solución:

• GX Works3: descargar la versión 1.090U o posteriores y actualizar el software para corregir CVE-2022-29826. Para el resto de vulnerabilidades asociadas, en algunos casos, está planeada próximamente la publicación de las correcciones. Hasta entonces, aplicar las medidas de mitigación descritas en el aviso del fabricante.
• GOT2000 Series: actualizar los modelos afectados a la versión 01.47.000 o posteriores.

Detalle:

La explotación de la vulnerabilidad de severidad crítica podría permitir a un atacante revelar o manipular información sensible. Como resultado, la información sobre los archivos del proyecto podría ser obtenida ilegalmente por usuarios no autorizados. Se ha asignado el identificador CVE-2022-29830 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-25164, CVE-2022-29825, CVE-2022-29826, CVE-2022-29827, CVE-2022-29828, CVE-2022-29829, CVE-2022-29831, CVE-2022-29832, CVE-2022-29833 y CVE-2022-40266.

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad