Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Denegación de servicio en productos Mitsubishi Electric

Fecha de publicación 14/06/2022
Identificador
INCIBE-2022-0787
Importancia
4 - Alta
Recursos Afectados
  • Q03UDECPU y Q04/06/10/13/20/26/50/100UDEHCPU, todas las versiones.
  • Los primeros 5 dígitos del número de serie "24051" y anteriores de los productos:
    • Q03/04/06/13/26UDVCPU,
    • Q04/06/13/26UDPVCPU,
    • L02/06/26CPU(-P), L26CPU-(P)BT.
Descripción

Se ha identificado una vulnerabilidad de severidad alta en módulos CPU de las series MELSEC-Q y L, que podría permitir a un atacante causar una condición de denegación de servicio (DoS).

Solución
  • Los primeros 5 dígitos del número de serie "24052" y posteriores de los productos:
    • Q03/04/06/13/26UDVCPU,
    • Q04/06/13/26UDPVCPU,
    • L02/06/26CPU(-P), L26CPU-(P)BT.

Otros módulos se actualizarán en un futuro próximo.

Detalle

Una vulnerabilidad DoS, debido a un bloqueo inadecuado de los recursos (falta de liberación de recursos), podría ser explotada por un atacante en las comunicaciones Ethernet mediante el envío de un paquete especialmente diseñado. Se requiere un reinicio del sistema de los productos para la recuperación. Se ha asignado el identificador CVE-2022-24946 para esta vulnerabilidad.