2023] Múltiples vulnerabilidades en productos Mitsubishi Electric

Fecha de publicación 24/11/2022

Importancia

5 - Crítica

Recursos Afectados

GX Works3, versiones (consultar el listado concreto de vulnerabilidades que afecta a cada versión en el aviso del fabricante):
- 1.000A o posteriores y 1.011M y anteriores;
- 1.015R o posteriores y 1.086Q y anteriores;
- 1.087R o posteriores.
- [Actualización 30/05/2023] 1090U
- [Actualización 30/06/2023] 1.095Z, 1.096A y posterior
- Configuración de control de movimiento: 1.000A a 1.033K, 1.035M a 1.042U, 1.045X y posterior
MX OPC UA Module Configurator-R, todas las versiones.

[Actualización 30/05/2023]

GX Works2, todas las versiones.
GX Developer, 8.40S y posteriores.
GT Designer3 Version1 (GOT2000) , desde 1.122C hasta 1.290C.
Motion Control Setting, desde 1.000A hasta 1.033K, 1.035M hasta 1.042U, 1.045X y posteriores

Descripción

Varios investigadores han identificado 10 vulnerabilidades en productos de Mitsubishi Electric, siendo 1 de severidad crítica, 2 altas y 7 medias. La explotación de estas vulnerabilidades podría permitir a un atacante acceder a módulos, ejecutar programas ilegales y causar una condición de denegación de servicio (DoS).

Solución

GX Works3: descargar la versión 1.090U o posteriores y actualizar el software para corregir CVE-2022-29826. Para el resto de vulnerabilidades asociadas, en algunos casos, está planeada próximamente la publicación de las correcciones. Hasta entonces, aplicar las medidas de mitigación descritas en el aviso del fabricante.

[Actualización 30/05/2023]

GT Designer3 Version1 (GOT2000): descargar versión 1.295H y actualizar el software.
Motion Control Setting: descargar versión 1.045X y actualizar el software.

[Actualización 29/05/2023]

Descargue la versión fija 1096A o posterior.
Configurador de módulo MX OPC UA-R: fija. 1.09K

Detalle

La explotación de la vulnerabilidad de severidad crítica podría permitir a un atacante revelar o manipular información sensible. Como resultado, la información sobre los archivos del proyecto podría ser obtenida ilegalmente por usuarios no autorizados. Se ha asignado el identificador CVE-2022-29830 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-25164, CVE-2022-29825, CVE-2022-29826, CVE-2022-29827, CVE-2022-29828, CVE-2022-29829, CVE-2022-29831, CVE-2022-29832 y CVE-2022-29833.

Listado de referencias

Multiple Vulnerabilities in Multiple FA Engineering Software

Denial-of-Service (DoS) Vulnerability in FTP Server Function on GOT2000 Series

ICS Advisory (ICSA-22-333-01) Mitsubishi Electric GOT2000

ICS Advisory (ICSA-22-333-05) Mitsubishi Electric FA Engineering Software

Etiquetas