Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Mitsubishi Electric GT14 de las series GOT1000

Fecha de publicación 06/11/2020
Importancia
5 - Crítica
Recursos Afectados

Los siguientes modelos de GOT1000 con CoreOS, versión 05.65.00.BD y anteriores, se ven afectados:

  • GT1455-QTBDE,
  • GT1450-QMBDE,
  • GT1450-QLBDE,
  • GT1455HS-QTBDE,
  • GT1450HS-QMBDE.
Descripción

Mitsubishi Electric ha reportado 6 vulnerabilidades al CISA, 2 con severidad crítica, 3 altas y 1 media, de tipo restricción incorrecta de operaciones dentro de los límites de un búfer de memoria, control de acceso inadecuado, fijación de sesión, desreferencia a puntero nulo, inyección de argumento y errores de gestión de recursos.

Solución

Siguiendo los pasos descritos en el aviso 2020-014_en del fabricante, actualizar Core OS a la versión 05.76.00.BG y posteriores (MELSOFT GT Designer3 Version1 [GOT1000], versión 1.245F y posteriores).

Detalle

Las vulnerabilidades de severidad crítica se describen a continuación:

  • El producto afectado tiene una vulnerabilidad de corrupción de memoria, que podría permitir que un atacante enviase un paquete, especialmente diseñado, que podría resultar en una condición de denegación de servicio (DoS) o ejecución de código. Se ha asignado el identificador CVE-2020-5644 para esta vulnerabilidad.
  • El producto afectado tiene un problema de control de acceso, que podría permitir que un atacante enviase un paquete, especialmente diseñado, que podría resultar en una condición de denegación de servicio (DoS) o ejecución de código. Se ha asignado el identificador CVE-2020-5647 para esta vulnerabilidad.

Para el resto de vulnerabilidades, se han asignado los siguientes identificadores: CVE-2020-5645, CVE-2020-5646, CVE-2020-5648 y CVE-2020-5649.

Encuesta valoración