[Actualización 31/05/2022] Múltiples vulnerabilidades en productos Mitsubishi Electric FA
Fecha de publicación 31/03/2022
Importancia
4 - Alta
Recursos Afectados
- Serie iQ-F, módulos:
- FX5U(C) CPU, todas las versiones;
- FX5UJ CPU, todas las versiones.
[Actualización 31/05/2022]
- Serie iQ-R, módulos listados en el aviso del fabricante;
- Serie Q, módulos listados en el aviso del fabricante;
- Serie L, módulos listados en el aviso del fabricante.
Descripción
Se han publicado 6 vulnerabilidades: 2 de severidad alta y 4 medias, que podrían permitir a un atacante no autenticado acceder a los productos y divulgar o manipular la información de los mismos.
Solución
El fabricante recomienda tomar las siguientes medidas de mitigación:
- utilizar una VPN cuando se comunique a través de redes o hosts no confiables;
- utilizar cortafuegos o la función de filtro IP para restringir las conexiones a los productos y evitar el acceso desde redes o hosts no fiables. Para obtener más información, puede consultar "12.1 Función de filtro IP" en el manual del usuario de MELSEC iQ-F FX 5 (Comunicación Ethernet).
[Actualización 31/05/2022] Para más detalles sobre el filtrado de IP en los productos afectados, consultar los respectivos manuales de cada producto afectado.
Detalle
Las vulnerabilidades publicadas son del tipo:
- Uso del hash de la contraseña en lugar de la contraseña para la autenticación. Se han asignado los identificadores CVE-2022-25155 y CVE-2022-25157 para estas vulnerabilidades.
- Uso de hash débil. Se ha asignado el identificador CVE-2022-25156 para esta vulnerabilidad.
- Almacenamiento en texto claro de información sensible. Se han asignado los identificadores CVE-2022-25158 y CVE-2022-25160 para estas vulnerabilidades.
- Anulación de la autenticación mediante capture-replay. Se ha asignado el identificador CVE-2022-2559 para esta vulnerabilidad
Listado de referencias
Etiquetas