Múltiples vulnerabilidades en productos Mitsubishi Electric

Fecha de publicación 21/10/2021

Importancia

4 - Alta

Recursos Afectados

GENESIS64, versión 10.97;
MC Works64, versión 4.04E y anteriores.

Descripción

Se han identificado 2 vulnerabilidades de severidad alta y 1 baja en productos de Mitsubishi Electric que podrían permitir a un atacante realizar denegación de servicio (DoS) o ejecución de código arbitrario.

Solución

Actualizar GENESIS64 a la versión 10.97 Critical Fixes Rollup 2;
actualizar MC Works64 a la versión correspondiente o ponerse en contacto con el representante local de la compañía, según corresponda a la versión utilizada por el usuario, tal y como se detalla en el apartado Countermeasures del aviso del fabricante.

Detalle

Una vulnerabilidad de recursividad no controlada podría permitir a un atacante remoto causar una condición de denegación de servicio (DoS) enviando un paquete OPC UA especialmente diseñado. Se ha asignado el identificador CVE-2021-27432 para esta vulnerabilidad alta.
Una vulnerabilidad de escritura fuera de límites podría permitir a un atacante ejecutar código arbitrario haciendo que los productos de destino importen un archivo AutoCAD (DWG) especialmente manipulado. Se ha asignado el identificador CVE-2021-27041 para esta vulnerabilidad alta.

Se ha asignado el identificador CVE-2021-27040 para la vulnerabilidad baja.

Listado de referencias

Denial of Service (DoS) Vulnerability in OPC UA communication function of GENESIS64 and MC Works64

Arbitrary code execution vulnerability in AutoCAD (DWG) file import function of GENESIS64 and MC Works64

ICS Advisory (ICSA-21-294-01) ICONICS GENESIS64 and Mitsubishi Electric MC Works64

ICS Advisory (ICSA-21-294-03) ICONICS GENESIS64 and Mitsubishi Electric MC Works64 OPC UA

Etiquetas