Vulnerabilidad de consumo de recursos no controlado en dispositivos MELSEC iQ-R de Mitsubishi Electric
Dispositivos MELSEC iQ-R:
- R04/08/16/32/120CPU, R04/08/16/32/120ENCPU, con versiones de firmware 39 y anteriores;
- R00/01/02CPU, con versiones de firmware 7 y anteriores;
- R08/16/32/120SFCPU, con versiones de firmware 20 y anteriores;
- R08/16/32/120PCPU, todas las versiones;
- R08/16/32/120PSFCPU, todas las versiones;
- RJ71EN71, todas las versiones.
El investigador Yossi Reuven, de SCADAfecnce, ha reportado a Mitsubishi Electric una vulnerabilidad de severidad media, del tipo consumo de recursos no controlado.
Mitsubishi Electric recomienda emplear un firewall para bloquear el acceso a los dispositivos afectados desde redes y dispositivos no confiables.
También es recomendable el uso de redes virtuales privadas (VPNs) como método de acceso remoto a los dispositivos.
[Actualización 17/06/2020]: Mitsubishi Electric ha arreglado las siguientes versiones para descartar los paquetes cuando se reciben paquetes especialmente elaborados:
- R00/01/02CPU: versiones de firmware 8 y posteriores;
- R04/08/16/32/120CPU, R04/08/16/32/120ENCPU: versiones de firmware 40 y posteriores;
- R08/16/32/120SFCPU: versiones de firmware 21 y posteriores.
La vulnerabilidad podría generar en el puerto Ethernet del dispositivo una condición de denegación de servicio (DoS). Se ha reservado el identificador CVE-2020-13238 para esta vulnerabilidad.
