[Actualización 30/06/2022] Múltiples vulnerabilidades en productos Mitsubishi Electric

Fecha de publicación 16/12/2021
Importancia
4 - Alta
Recursos Afectados
  • GX Works2, versión 1.606G y anteriores;
  • MELSOFT Navigator, todas las versiones;
  • EZSocket, todas las versiones;
  • MELSEC Series Remote I/O, todas las versiones de los modelos:
    • NZ2FT-EIP;
    • NZ2FT-MT;
    • NZ2FT-PN;
    • NZ2FT-GN;
    • NZ2FT-PBV;
    • NZ2FT-BT.
Descripción

Se han identificado 6 vulnerabilidades de denegación de servicio (DoS) en productos de Mitsubishi Electric, concretamente 3 de severidad alta y 3 bajas.

Solución
  • GX Works2, versión 1.610L o superior;
  • para los productos de MELSEC, el fabricante publicará las versiones correctoras en el futuro.
Detalle
  • Existen múltiples vulnerabilidades de denegación de servicio (DoS) debido a una validación de entrada inadecuada en la pila de protocolos TCP/IP de MELSEC Series Remote I/O. Un atacante remoto podría provocar una condición de DoS en la E/S remota de la serie MELSEC mediante el envío de paquetes especialmente diseñados. Se han asignado los identificadores CVE-2020-35683, CVE-2020-35684 y CVE-2021-31401 para estas vulnerabilidades altas.

Para el resto de vulnerabilidades de severidad baja se han asignado los identificadores: CVE-2021-20606, CVE-2021-20607 y CVE-2021-20608.

Encuesta valoración

Listado de referencias
Denial-of-Service (DoS) Vulnerability in GX Works2
[Actualización 30/06/2022] Multiple Denial-of-Service Vulnerabilities in Multiple FA Engineering Software
Multiple Denial of Service (DoS) Vulnerabilities in TCP/IP Protocol Stack of MELSEC Series Remote I/O
ICS Advisory (ICSA-21-350-04) Mitsubishi Electric GX Works2
ICS Advisory (ICSA-21-350-05) Mitsubishi Electric FA Engineering Software
Etiquetas