[Actualización 31/01/2023] Múltiples vulnerabilidades en productos de Mitsubishi Electric
Fecha de publicación 10/08/2022
Identificador
INCIBE-2022-0872
Importancia
5 - Crítica
Recursos Afectados
- GT SoftGOT2000, versión 1.275M.
[Actualización 19/08/2022]
- CC-Link IE TSN Industrial Managed Switch (NZ2MHG-TSNT8F2), versión 03 y anteriores (solo afectado por CVE-2022-0778);
- MELSEC iQ-R Series OPC UA Server Module (RD81OPC96), versión 08 y anteriores (solo afectado por CVE-2022-0778).
[Actualización 30/08/2022]
- CC-Link IE TSN Industrial Managed Switch (NZ2MHG-TSNT4), versión 03 y anteriores (solo afectado por CVE-2022-0778).
Descripción
Mitsubishi Electric ha reportado múltiples vulnerabilidades que podrían permitir a un atacante la denegación del servicio o la ejecución arbitraria de código.
Solución
Actualizar GOT2000 a la versión 1.280S o posterior.
[Actualización 19/08/2022]
- CC-Link IE TSN Industrial Managed Switch: Mitsubishi Electric está trabajando en una actualización. Recomienta entrar en NZ2MHG-TSNT8F2 desde el interfaz web y cambiar el usuario y la contraseña por defecto. Adicionalmente, también se recomienda configurar los permisos de acceso correctamente para los diferentes usuarios.
- MELSEC iQ-R Series OPC UA Server Module: Mitsubishi Electric está trabajando en una actualización. Recomienta utilizar la ultima versión de OPC UA Client y usar los certificados legítimos en el lado del cliente OPC UA.
[Actualización 30/08/2022]
- CC-Link IE TSN Industrial Managed Switch (NZ2MHG-TSNT4): Mitsubishi Electric está trabajando en una actualización. Recomienta entrar en NZ2MHG-TSNT4, desde el interfaz web, y cambiar el usuario y la contraseña por defecto. Adicionalmente, también se recomienda configurar los permisos de acceso correctamente para los diferentes usuarios.
[Actualización 02/11/2022]
- CC-Link IE TSN Industrial Managed Switch (NZ2MHG-TSNT4): Mitsubishi Electric ha lanzado un parche para estos problemas y recomienda a los usuarios actualizar los productos afectados a la versión 04 o posterior. Los usuarios deben comunicarse con Mitsubishi Electric para obtener la versión de firmware fija.
[Actualización 31/01/2023]
- MELSEC IQ-R Series PC UA Server Module: Mitsubishi Electric ha lanzado un parche para los problemas detectados, y recomienda a los usuarios actualizar los productos afectados a la versión 09 o posterior. Los usuarios deben comunicarse con Misubishi Electric para obtener la versión de firmware fija.
Detalle
- Una vulnerabilidad en OpenSSL hace posible un bucle infinito en el producto afectado, lo que podría permitir a un atacante la denegación de servicio. Se ha asignado el identificador CVE-2022-0778 para esta vulnerabilidad.
- Una vulnerabilidad en OpenSSL hace posible una inyección de comandos del sistema operativo, lo que podría permitir a un atacante la ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-1292 para esta vulnerabilidad.
Listado de referencias