Inicio / Content / Boletín de INCIBE-CERT del 26-04-2022

Boletín de INCIBE-CERT del 26-04-2022

[Actualización 26/04/2022] Múltiples vulnerabilidades DoS en productos Mitsubishi Electric

Fecha de publicación: 
30/11/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • MELSEC:
    • iQ-R series:
      • R00/01/02CPU, versiones de firmware 24 y anteriores;
      • R04/08/16/32/120(EN)CPU, versiones de firmware 57 y anteriores;
      • R08/16/32/120SFCPU, todas las versiones;
      • R08/16/32/120PCPU, versiones de firmware 29 y anteriores;
      • R08/16/32/120PSFCPU, todas las versiones;
      • R16/32/64MTCPU, todas las versiones;
      • R12CCPU-V, todas las versiones.
    • Q series:
      • Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU, todas las versiones;
      • Q03/04/06/13/26UDVCPU, los primeros 5 dígitos de los números de serie "23071" y anteriores;
      • Q04/06/13/26UDPVCPU, los primeros 5 dígitos de los números de serie "23071" y anteriores.
    • L Series: L02/06/26CPU (-P), L26CPU-(P)BT, los primeros 5 dígitos de los números de serie "23121" y anteriores;
  • MELIPC Series: MI5122-VW, todas las versiones.
Descripción: 

El fabricante ha notificado 3 vulnerabilidades de severidad alta que podrían provocar condiciones de denegación de servicio (DoS) en los productos afectados.

Solución: 

Actualizar los productos afectados:

  • iQ-R Series:
    • R00/01/02CPU: versión de firmware 25 o posteriores;
    • R04/08/16/32/120(EN)CPU: versión de firmware 58 o posteriores;
    • R08/16/32/120PCPU: versión de firmware 30 o posteriores.
  • Q Series:
    • Q03/04/06/13/26UDVCPU: los primeros 5 dígitos de los números de serie "23072" o posteriores;
    • Q04/06/13/26UDPVCPU: los primeros 5 dígitos de los números de serie "23072" o posteriores.
  • L Series
    • L02/06/26CPU(-P), L26CPU-(P)BT: : los primeros 5 dígitos de los números de serie "23122" o posteriores.
Detalle: 

Un atacante remoto podría detener la ejecución del programa o la comunicación Ethernet de los productos afectados mediante el envío de paquetes especialmente diseñados. Se requiere un reinicio del sistema de los productos para la recuperación. Se han asignado los identificadores CVE-2021-20609, CVE-2021-20610 y CVE-2021-20611 para estas vulnerabilidades.

Encuesta valoración

[Actualización 26/04/2022] Múltiples vulnerabilidades en CENTUM de Yokogawa

Fecha de publicación: 
10/03/2022
Importancia: 
4 - Alta
Recursos afectados: 
  • CENTUM VP (Including CENTUM VP Entry Class), versiones:
    • R4.01.00 - R4.03.00, con VP6E5150 (Graphic Builder) instalado;
    • R6.01.10 - R6.09.00, con VP6E5000 (AD Suite Engineering Server Function) instalado;
    • R6.01.10 - R6.07.10, con VP6E5000, VP6E5100 (AD Suite Engineering Server Function, Standard Engineering Function) instalado.
  • B/M9000 VP, versiones:
    • R6.01.01 - R6.03.02;
    • R8.01.01 - R8.03.01.
Descripción: 

FSTEC Rusia ha descubierto 5 vulnerabilidades, 1 de severidad alta y 4 medias, que podrían permitir a un atacante la denegación del servicio, la filtración o manipulación de los datos o la ejecución de programas arbitrarios.

Solución: 
  • Para CENTUM R4.01.00 - R4.03.00:
    • no habrá actualizaciones, ya que se consideran productos sin soporte. El fabricante recomienda actualizar el sistema a la última revisión de CENTUM VP. La vulnerabilidad se ha corregido en la versión R5.01.00.
  • Para CENTUM R6.01.10 - R6.09.00:
    • actualizar a R6.09.04.
  • Para CENTUM R6.01.10 - R6.07.10, con VP6E5000, VP6E5100:
    • actualizar a R6.08.00.
  • Para B/M9000 VP:
    • este producto no está afectado por las vulnerabilidades. Sin embargo, este producto se ve afectado por la existencia de CENTUM instalado en el mismo PC.
    • si el CENTUM instalado necesita actualizarse, actualice también el B/M9000 a la versión adecuada.
Detalle: 

La vulnerabilidad de severidad alta consiste en una desreferencia a puntero nulo (NULL) que podría permitir a un atacante la denegación del servicio mediante el envío de paquetes especialmente diseñados a la función de gestión de versiones de AD Suite.

Encuesta valoración