2022] Denegación de servicio en controladores MELSEC iQ-R de Mitsubishi Electric

Fecha de publicación 07/10/2021

Importancia

3 - Media

Recursos Afectados

R12CCPU-V, todas las versiones.

Descripción

Mitsubishi Electric ha publicado una vulnerabilidad de severidad media que podría permitir a un atacante remoto causar una condición de denegación de servicio.

Solución

Si ocurriera un error System WDT, el fabricante recomienda desconectar el controlador de la red LAN y reiniciarlo para seguidamente volverlo a conectar a la LAN.

Independientemente de lo anterior, el fabricante recomienda tomar las siguientes medidas de mitigación:

usar un cortafuegos o VPN para prevenir accesos no autorizados a través de Internet,
ubicar los controladores dentro de una LAN y bloquear el acceso desde redes o host no confiables.

[Actualización 08/07/2022] Mitsubishi Electric ha publicado la versión de firmware 17 o posterior para corregir esta vulnerabilidad. Puede consultar instrucciones específicas y detalles adicionales en el aviso de Mitsubishi Electric

Detalle

Un consumo no controlado de recursos en el producto afectado podría permitir a un atacante remoto causar una condición de denegación de servicio mediante el envío de una gran cantidad de paquetes en poco tiempo durante el inicio del equipo. Se ha asignado el identificador CVE-2021-20600 para esta vulnerabilidad.

Listado de referencias

Denial-of-Service Vulnerability in MELSEC iQ-R Series C Controller Module

[Actualización 08/10/2021] ICSA-21-280-04: Mitsubishi Electric MELSEC iQ-R Series C Controller Module

Etiquetas

Vulnerabilidad