raquel.loma
Lun, 03/07/2023 – 09:25
Todas las versiones de MELSEC-F series en los productos:
- FX3U-xMy/z x=16,32,48,64,80,128, y=T,R, z=ES,ESS,DS,DSS *1;
- FX3U-32MR/UA1, FX3U-64MR/UA1 *1;
- FX3U-32MS/ES, FX3U-64MS/ES *1;
- FX3U-xMy/ES-A x=16,32,48,64,80,128, y=T,R *1*2;
- FX3UC-xMT/z x=16,32,64,96, z=D,DSS *1;
- FX3UC-16MR/D-T, FX3UC-16MR/DS-T *1;
- FX3UC-32MT-LT, FX3UC-32MT-LT-2 *1;
- FX3UC-16MT/D-P4, FX3UC-16MR/DSS-P4 *1*2;
- FX3G-xMy/z x=14,24,40,60, y=T,R, z=ES,ESS,DS,DSS *1;
- FX3G-xMy/ES-A x=14,24,40,60, y=T,R *1*2;
- FX3GC-32MT/D, FX3GC-32MT/DSS *1;
- FX3GE-xMy/z x=24,40, y=T,R, z=ES,ESS,DS,DSS *2;
- FX3GA-xMy-CM x=24,40,60, y=T,R *1*2;
- FX3S-xMy/z x=10,14,20,30, y=T,R, z=ES,ESS,DS,DSS *1;
- FX3S-30My/z-2AD y=T,R, z=ES,ESS *1;
- FX3SA-xMy-CM x=10,14,20,30, y=T,R *1*2.
Chun Liu, Xin Che, Ruilong Deng, Peng Cheng y Jiming Chen, de 307LAB (Zhejiang University), han reportado una vulnerabilidad de severidad alta que podría permitir a un atacante cancelar la configuración de la contraseña e iniciar sesión en el producto mediante el envío de maquetes diseñados.
Mitsubishi Electric recomienda que los clientes tomen las siguientes medidas de mitigación para minimizar el riesgo de explotar esta vulnerabilidad:
- Utilizar un firewall o una red privada virtual (VPN), etc. para evitar el acceso no autorizado cuando se requiera acceso a Internet.
- Usarlo dentro de una LAN y bloquar el acceso desde redes y hosts no confiables a través de firewalls.
- Restringir el acceso físico a los productos afectados y la LAN a la que están conectados.
La vulnerabilidad de severidad alta detectada podría provocar una omisión de autenticación por capture-replay en los módulos principales de la serie MELSEC-F. Un atacante remoto podría cancelar la configuración de contraseña o palabra clave e iniciar sesión en el producto mediante el envío de paquetes especialmente diseñados.
Se ha asignado el identificador CVE-2023-2846 para esta vulnerabilidad.
Ir a la fuente
Author: raquel.loma
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.