Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Denegación de servicio en unidad MELSEC iQ-F OPC UA de Mitsubishi Electric

Fecha de publicación 01/10/2024
Identificador
INCIBE-2024-0482
Importancia
4 - Alta
Recursos Afectados
  • Serie MELSEC iQ-F, modelo FX5-OPC: todas las versiones.
Descripción

Mitsubishi Electric ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante provocar una denegación de servicio (DoS).

Solución

Por el momento, no existe solución.

Mitsubishi Electric recomienda a los clientes que adopten las siguientes medidas para minimizar el riesgo:

  • Utilizar dentro de una LAN y bloquear el acceso desde redes y hosts no confiables mediante cortafuegos.
  • Restringir el acceso físico al producto, así como a los ordenadores y dispositivos de red situados dentro de la misma red que el producto.
  • Utilizar un cortafuegos o una red privada virtual (VPN) para impedir el acceso, no autorizado, cuando se requiera acceso a Internet.
  • Utilizar la función de filtro IP para bloquear el acceso desde hosts que no sean de confianza. Para obtener más información sobre la función de filtro IP en el punto 4.4 del manual.
  • No importar certificados que no sean de confianza.
Detalle

El OpenSSL instalado en las unidades MELSEC iQ-F OPC UA tiene una vulnerabilidad debido a un puntero nulo al procesar PKCS#12. Un usuario malintencionado podría importar archivos PKCS@12 especialmente diseñados que al ser procesados podrían provocar una denegación de servicio.

Se ha asignado el identificador CVE-2024-0727 para esta vulnerabilidad.