Un nuevo aviso de SCI
[Actualización 21/11/2023] Vulnerabilidad en dispositivos de la serie CNC de Mitsubishi Electric
[Actualización 03/08/2023]
Todas las versiones de:
Serie M800V / M80V
- M800VW
- M800VS
- M80V
- M80VW
- C80
M700V/ M70 / E70
- M750VW
- M730VW/M720VW
- M750VS
- M730VS
- M720VS
- M750VS 15-type
- M730VS/M720VS 15-type
- M70V
- E70
IOT: Unidad Gateway de servicio remoto.
IOT: Unidad de Adquisición de Datos.
[Actualización 02/11/2023]
Serie M800/ M80/ E80, versiones FB y anteriores:
- M800W
- M800S
- M80
- M80W
- E80
Investigadores de Zhejiang Qian Information & Technology informaron de una vulnerabilidad en dispositivos de la serie CNC de Mitsubishi Electric, que podría causar una condición de denegación de servicio y ejecutar código malicioso.
Mitsubishi Electric recomienda a los clientes aplicar las siguientes mitigaciones:
- Utilizar un cortafuegos o una red privada virtual (VPN) y evitar accesos no autorizados desde redes no confiables como Internet.
- Instalar el software antivirus en los equipos que accedan a los dispositivos.
- Limitar acceso físico al producto afectado y a la red local a la que está conectado el dispositivo
[Actualización 02/11/2023]
Actualizar a FC o posteriores los productos de la serie M800/M80/E80:
- M800W
- M800S
- M80
- M80W
- E80
[Actualización 21/11/2023]
Actualizar a A9 o LG según correspondan los productos de las series M800V/M80V y M700V/M70V/E70 Series:
M800VW, M800VS, M80V, M80VW, M750VW, M730VW/M720VW, M750VS, M730VS/M720VS, M70V, E70.
La vulnerabilidad detectada podría permitir a un atacante causar una condición de denegación de servicio y ejecutar código malicioso mediante el envío de paquetes especialmente diseñados, debido a un desbordamiento de búfer clásico. Se ha asignado el identificador CVE-2023-3346 para esta vulnerabilidad.
Inyección de comandos en el sistema operativo en productos Wago
Switch industrial gestionado, versiones:
- modelo nº 0852-0602 y 0852-0603, versiones inferiores a 1.0.6.S0;
- modelo nº 0852-1605, versiones inferiores a 1.2.5.S0.
INTILION AG y GAI NetConsult han descubierto y reportado una vulnerabilidad de severidad crítica, que afecta a distintos modelos de switch industriales gestionados de WAGO GmbH & Co. KG, cuya publicación ha sido coordinada por el CERT@VDE.
WAGO recomienda a todos los usuarios afectados de los productos 0852-0602, 0852-0603 actualizar a la versión de firmware 1.0.6.S0 y a todos los usuarios afectados del 852-1605 actualizar a la versión de firmware 1.2.5.S0.
Una vulnerabilidad en la gestión basada en web permite a un atacante remoto no autenticado inyectar comandos arbitrarios del sistema y obtener el control total del mismo. Estos comandos se ejecutan con privilegios de root. La vulnerabilidad se encuentra en la gestión de peticiones de usuario de la gestión basada en web.
Se ha asignado el identificador CVE-2023-4149 para esta vulnerabilidad.