Denegación de servicio en productos Mitsubishi Electric

Fecha de publicación 14/06/2022
Importancia
4 - Alta
Recursos Afectados
  • Q03UDECPU y Q04/06/10/13/20/26/50/100UDEHCPU, todas las versiones.
  • Los primeros 5 dígitos del número de serie "24051" y anteriores de los productos:
    • Q03/04/06/13/26UDVCPU,
    • Q04/06/13/26UDPVCPU,
    • L02/06/26CPU(-P), L26CPU-(P)BT.
Descripción

Se ha identificado una vulnerabilidad de severidad alta en módulos CPU de las series MELSEC-Q y L, que podría permitir a un atacante causar una condición de denegación de servicio (DoS).

Solución
  • Los primeros 5 dígitos del número de serie "24052" y posteriores de los productos:
    • Q03/04/06/13/26UDVCPU,
    • Q04/06/13/26UDPVCPU,
    • L02/06/26CPU(-P), L26CPU-(P)BT.

Otros módulos se actualizarán en un futuro próximo.

Detalle

Una vulnerabilidad DoS, debido a un bloqueo inadecuado de los recursos (falta de liberación de recursos), podría ser explotada por un atacante en las comunicaciones Ethernet mediante el envío de un paquete especialmente diseñado. Se requiere un reinicio del sistema de los productos para la recuperación. Se ha asignado el identificador CVE-2022-24946 para esta vulnerabilidad.

Listado de referencias
Denial-of-Service Vulnerability in Ethernet Port on CPU Module of MELSEC Q and L Series
[Actualización 22/06/2022] ICS Advisory (ICSA-22-172-01) Mitsubishi Electric MELSEC Q and L Series
Etiquetas