Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en sistemas de aire acondicionado de Mitsubishi Electric

Fecha de publicación 07/06/2022
Identificador

INCIBE-2022-0782

Importancia
4 - Alta
Recursos Afectados
  • G150AD, versión 3.21 y anteriores;
  • AG150AA, versión 3.21 y anteriores;
  • AG150AJ, versión 3.21 y anteriores;
  • GB50AD, versión 3.21 y anteriores;
  • GB50ADAA, versión 3.21 y anteriores;
  • GB50ADAJ, versión 3.21 y anteriores;
  • EB50GUA, versión 7.10 y anteriores;
  • EB50GUJ, versión 7.10 y anteriores; 
  • AE200J, versión 7.97 y anteriores;
  • AE200A, versión 7.97 y anteriores;
  • AE200E, versión 7.97 y anteriores; 
  • AE50J, versión 7.97 y anteriores;
  • AE50A, versión 7.97 y anteriores;
  • AE50E, versión 7.97 y anteriores;
  • EW50J, versión 7.97 y anteriores;
  • EW50A, versión 7.97 y anteriores;
  • EW50E, versión 7.97 y anteriores;
  • TE200A, versión 7.97 y anteriores;
  • TE50A, versión 7.97 y anteriores;
  • TW50A, versión 7.97 y anteriores.
Descripción

Mitsubishi Electric ha publicado múltiples vulnerabilidades en algunos de sus sistemas de aire acondicionado que podrían permitir a un atacante revelar o manipular algunos de los datos de la comunicación entre el sistema de aire acondicionado y los ordenadores externos, o causar una condición de DoS en los sistemas de aire acondicionado.

Solución

Las versiones corregidas son las siguientes:

  • G150AD, reemplazar el sistema por un AE-200E, AE-50E o un EW-50E, versiones 7.98 o superiores;
  • AG150AA, reemplazar el sistema por un AE-200E, AE-50E o un EW-50E, versiones 7.98 o superiores;
  • AG150AJ, reemplazar el sistema por un AE-200E, AE-50E o un EW-50E, versiones 7.98 o superiores;
  • GB50AD, reemplazar el sistema por un AE-200E, AE-50E o un EW-50E, versiones 7.98 o superiores;
  • GB50ADAA, reemplazar el sistema por un AE-200E, AE-50E o un EW-50E, versiones 7.98 o superiores;
  • GB50ADAJ, reemplazar el sistema por un AE-200E, AE-50E o un EW-50E, versiones 7.98 o superiores;
  • EB50GUA, versión 7.11 o superior;
  • EB50GUJ, versión 7.11 o superior;
  • AE200J, versión 7.98 o superior;
  • AE200A, versión 7.98 o superior;
  • AE200E, versión 7.98 o superior;
  • AE50J, versión 7.98 o superior;
  • AE50A, versión 7.98 o superior;
  • AE50E, versión 7.98 o superior;
  • EW50J, versión 7.98 o superior;
  • EW50A, versión 7.98 o superior;
  • EW50E, versión 7.98 o superior;
  • TE200A, versión 7.98 o superior;
  • TE50A, versión 7.98 o superior;
  • TW50A, versión 7.98 o superior.
Detalle
  • Las vulnerabilidad de divulgación de información, en las comunicaciones cifradas en sistemas de aire acondicionado, podrían permitir a un atacante revelar algunos de los mensajes cifrados de los sistemas de aire acondicionado mediante la interceptación de las comunicaciones cifradas. Se han asignado los identificadores: CVE-2022-24296, CVE-2016-2183, CVE-2013-2566 y CVE-2015-2808 para estas vulnerabilidades.
  • Un atacante "man-in-the-middle" podría manipular el mensaje y causar una condición DoS en los sistemas de aire acondicionado. Se ha asignado el identificador CVE-2009-3555 para esta vulnerabilidad.

Encuesta valoración