Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad de denegación de servicio en PLC de la serie MELSEC-Q de Mitsubishi Electric

Fecha de publicación 30/01/2019
Importancia
4 - Alta
Recursos Afectados

PLC MELSEC-Q de las series:

  • Q03/04/06/13/26UDVCPU y Q04/06/13/26UDPVCPU con número de serie 20081 y anteriores.
  • Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU con número de serie 20101 y anteriores.
Descripción

Tri Quach del grupo Customer Fulfillment Technology Security (CFTS) de Amazon ha identificado una vulnerabilidad de tipo consumo de recursos no controlado en los PLC de la serie MELSEC-Q de Mitsubishi Electric. Un atacante remoto podría enviar bytes específicos al dispositivo consiguiendo que la comunicación Ethernet se pare.

Solución
  • Mitsubishi Electric ha publicado una nueva versión del firmware para los productos afectados. Además, recomienda que los productos afectados se sitúen detrás de un cortafuegos.
Detalle
  • Un atacante remoto podría enviar paquetes al puerto 5007 con la consecuencia de un error en la pila Ethernet. Se ha asignado el identificador CVE-2019-6535 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Advisory (ICSA-19-029-02) Mitsubishi Electric MELSEC-Q Series PLCs
Etiquetas