Validación de entrada incorrecta en múltiples productos de Mitsubishi Electric

Fecha de publicación 16/11/2021

Importancia

4 - Alta

Recursos Afectados

Todas las versiones de software de:

GOT2000 series, modelos GT27, GT25, GT23 y GT21;
GOT SIMPLE series, modelo GS21;
GT SoftGOT2000.

Descripción

Los investigadores, Parul Sindhwad y Faruk Kazi, de COE-CNDS Lab, han reportado una vulnerabilidad de severidad alta que podría permitir a un atacante degradar el funcionamiento del sistema.

Solución

Como medidas de mitigación, el fabricante recomienda:

usar un firewall o una VPN para evitar accesos no autorizados desde un equipo externo a través de Internet,
situar los productos afectados dentro de una LAN y bloquear el acceso desde redes y host no confiables,
instalar un antivirus en el ordenador que pueda acceder al producto afectado y al sistema,
implementar un filtro de IP para restringir el acceso en base a direcciones IP.

Detalle

Los productos afectados presentan una vulnerabilidad de validación de entrada incorrecta que podría permitir a un atacante escribir un valor que exceda el límite del rango de entrada configurado, mediante el envío de un paquete especialmente diseñado, lo que causaría una degradación del funcionamiento del equipo. Se ha asignado el identificador CVE-2021-20601.

Listado de referencias

Information Tampering Vulnerability in GOT2000 series, GOT SIMPLE series and GT SoftGOT2000

ICS Advisory (ICSA-21-320-02) Mitsubishi Electric GOT products

Etiquetas

Vulnerabilidad