Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos Mitsubishi Electric FA

Múltiples vulnerabilidades en productos Mitsubishi Electric FA

Fecha de publicación: 
31/03/2022
Importancia: 
4 - Alta
Recursos afectados: 
  • Serie iQ-F, módulos:
    • FX5U(C) CPU, todas las versiones;
    • FX5UJ CPU, todas las versiones.
Descripción: 

Se han publicado 6 vulnerabilidades: 2 de severidad alta y 4 medias, que podrían permitir a un atacante no autenticado acceder a los productos y divulgar o manipular la información de los mismos.

Solución: 

El fabricante recomienda tomar las siguientes medidas de mitigación:

  • utilizar una VPN cuando se comunique a través de redes o hosts no confiables;
  • utilizar cortafuegos o la función de filtro IP para restringir las conexiones a los productos y evitar el acceso desde redes o hosts no fiables. Para obtener más información, puede consultar "12.1 Función de filtro IP" en el manual del usuario de MELSEC iQ-F FX 5 (Comunicación Ethernet).
Detalle: 

Las vulnerabilidades publicadas son del tipo:

  • Uso del hash de la contraseña en lugar de la contraseña para la autenticación. Se han asignado los identificadores CVE-2022-25155 y CVE-2022-25157 para estas vulnerabilidades.
  • Uso de hash débil. Se ha asignado el identificador CVE-2022-25156 para esta vulnerabilidad.
  • Almacenamiento en texto claro de información sensible. Se han asignado los identificadores CVE-2022-25158 y CVE-2022-25160 para estas vulnerabilidades.
  • Anulación de la autenticación mediante capture-replay. Se ha asignado el identificador CVE-2022-2559 para esta vulnerabilidad

Encuesta valoración