Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en sistemas de aire acondicionado de Mitsubishi Electric

Múltiples vulnerabilidades en sistemas de aire acondicionado de Mitsubishi Electric

Fecha de publicación: 
02/07/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Air Conditioning System/Centralized Controllers:
    • G-50A: Versión 3.35 y anteriores;
    • GB-50A: Versión 3.35 y anteriores;
    • GB-24A: Versión 9.11 y anteriores;
    • AG-150A-A: Versión 3.20 y anteriores;
    • AG-150A-J: Versión 3.20 y anteriores;
    • GB-50ADA-A: Versión 3.20 y anteriores;
    • GB-50ADA-J: Versión 3.20 y anteriores;
    • EB-50GU-A: Versión 7.09 y anteriores;
    • EB-50GU-J: Versión 7.09 y anteriores;
    • AE-200A: Versión 7.93 y anteriores;
    • AE-200E: Versión 7.93 y anteriores;
    • AE-50A: Versión 7.93 y anteriores;
    • AE-50E: Versión 7.93 y anteriores;
    • EW-50A: Versión 7.93 y anteriores;
    • EW-50E: Versión 7.93 y anteriores;
    • TE-200A: Versión 7.93 y anteriores;
    • TE-50A: Versión 7.93 y anteriores;
    • TW-50A: Versión 7.93 y anteriores;
    • CMS-RMD-J: Versión 1.30 y anteriores.
  • Air Conditioning System/Expansion Controllers:
    • PAC-YG50ECA: Versión 2.20 y anteriores.
  • Air Conditioning System/BM adapter:
    • BAC-HD150: Versión 2.21 y anteriores.
Descripción: 
  • Chizuru Toyama, de TXOne IoT/ICS Security Research Labs, en colaboración con Trend Micro’s ZDI, ha reportado una vulnerabilidad alta que podría permitir a un atacante suplantar a los administradores para revelar la información de configuración del sistema de aire acondicionado con el fin de manipular la información de funcionamiento y la configuración del sistema.
  • Howard McGreehan de Aon's Cyber Solution ha reportado una vulnerabilidad crítica que podría permitir a un atacante revelar algunos de los datos del sistema de aire acondicionado o causar una condición de denegación de servicio.
Solución: 

Actualizar a una versión indicada en el apartado 4. MITIGATIONS de cada aviso del CISA.

Detalle: 

El producto afectado no restringe adecuadamente las referencias a entidades externas XML. A esta vulnerabilidad de severidad crítica se le ha asignado el identificador CVE-2021-20595.

Las funciones web de los sistemas de aire acondicionado de Mitsubishi Electric tienen una vulnerabilidad de escalada de privilegios, debido a una implementación incorrecta del algoritmo de autenticación. Esta vulnerabilidad podría permitir a un atacante hacerse pasar por un administrador y manipular información (por ejemplo, información de funcionamiento y configuración del sistema de aire acondicionado). A esta vulnerabilidad de severidad alta se le ha asignado el identificador CVE-2021-20593.

Encuesta valoración