Inicio / Content / Boletín de INCIBE-CERT del 15-02-2022

Boletín de INCIBE-CERT del 15-02-2022

Múltiples vulnerabilidades en Energy Saving Data Collecting Server de Mitsubishi Electric

Fecha de publicación: 
15/02/2022
Importancia: 
4 - Alta
Recursos afectados: 

Energy Saving Data Collecting Server versiones 3.0.0 a 3.3.0 modelos:

  • MES3-255C-EN;
  • MES3-255C-DM-EN;
  • MES3-255C-CN;
  • MES3-255C-DM-CN.
Descripción: 

Mitubishi Electric ha notificado 9 vulnerabilidades, 2 de severidad alta y 7 de severidad media por las que permitiría a un atacante la divulgación de información o la manipulación del producto.

Solución: 

Actualizar a la versión 3.3.1 o superior desde la web de Mitsubishi.

Detalle: 

La explotación de las vulnerabilidades de severidad alta podrían producir condiciones de denegación de servicio (DoS) debido a:

  • Consumo incontrolado de recursos. Se ha asignado el identificador CVE-2017-18214 para esta vulnerabilidad.
  • Modificación inadecuada de atributos de objetos determinados dinámicamente. Se ha asignado el identificador CVE-2020-7746 para esta vulnerabilidad.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2016-10735, CVE-2018-14040, CVE-2018-14042, CVE-2018-20676, CVE-2019-8331, CVE-2020-11022 y CVE-2020-11023.

Encuesta valoración

Múltiples vulnerabilidades en AVEVA System Platform

Fecha de publicación: 
15/02/2022
Importancia: 
4 - Alta
Recursos afectados: 

AVEVA System Platform 2020 R2 P01 y versiones anteriores.

Descripción: 

Sharon Brizinov, de Claroty, junto con Ilya Karpov, Evgeniy Druzhinin y Konstantin Kondratev, de Rostelecom-Solar, coordinados por el ICS-CERT, han notificado vulnerabilidades en AVEVA System Platform.

Solución: 

Los usuarios afectados deben actualizar a una de las versiones listadas a continuación y después aplicar la actualización de seguridad correspondiente:

Las vulnerabilidades ya han sido corregidas en:

  • AVEVA Application Server,
  • AVEVA Operations Management Interface (OMI)
  • AVEVA Historian and Historian Client.
Detalle: 

Las vulnerabilidades podrían exponer las credenciales en texto claro de la cuenta de Network User Account del sistema, o las credenciales en texto claro del usuario conectado, a un usuario autorizado con pocos privilegios. Las credenciales en texto claro también quedarían expuestas si el usuario crea un volcado de memoria de diagnóstico del proceso y lo guarda en una ubicación no protegida a la que pueda acceder un usuario malicioso no autorizado.

Encuesta valoración