Inicio / Alerta Temprana / Avisos Sci / [Actualización 28/07/2021] Omisión de autenticación en Mitsubishi Electric GOT

[Actualización 28/07/2021] Omisión de autenticación en Mitsubishi Electric GOT

Fecha de publicación: 
26/04/2021
Importancia: 
3 - Media
Recursos afectados: 

Mitsubishi Electric informa que la vulnerabilidad afecta a la función VNC de los siguientes dispositivos:

  • GOT2000 series:
    • modelo GT27, todas las versiones;
    • modelo GT25, todas las versiones;
    • modelo GT21, todas las versiones:
      • GT2107-WTBD, todas las versiones;
      • GT2107-WTSD, todas las versiones.
  • GOT SIMPLE series:
    • modelo GS21:
      • GS2110-WTBD-N, todas las versiones;
      • GS2107-WTBD-N, todas las versiones.
Descripción: 

Mitsubishi Electric ha reportado al CISA una vulnerabilidad, de severidad media, cuya explotación podría permitir a un atacante obtener acceso no autorizado.

Solución: 

Mitsubishi Electric aún no ha publicado parche para la vulnerabilidad. Como medida de mitigación, indica a los usuarios que restrinjan el acceso al producto sólo desde redes y hosts de confianza.

[Actualización 28/07/2021]

  • GOT2000 series:
    • modelo GT27: VNC server versión 01.40.010 o posteriores;
    • modelo GT25: VNC server versión 01.40.010 o posteriores;
    • modelo GT21:
      • GT2107-WTBD: VNC server versión 01.41.000 o posteriores;
      • GT2107-WTSD: VNC server versión 01.41.000 o posteriores.
  • GOT SIMPLE series:
    • modelo GS21:
      • GS2110-WTBD-N: VNC server versión 01.41.000 o posteriores;
      • GS2107-WTBD-N: VNC server versión 01.41.000 o posteriores.
Detalle: 

Existe una vulnerabilidad, de omisión de autenticación de la contraseña, en la función VNC de la serie GOT2000 y la serie GOT SIMPLE debido a una autenticación incorrecta. Cuando la configuración del servidor VNC está activada, un atacante podría obtener acceso no autorizado enviando paquetes especialmente diseñados. Se ha asignado el identificador CVE-2021-20590 para esta vulnerabilidad.

Encuesta valoración