Home / Node / [Actualización 08/09/2021] Múltiples vulnerabilidades en productos de la serie MELSEC iQ-R de Mitsubishi Electric

[Actualización 08/09/2021] Múltiples vulnerabilidades en productos de la serie MELSEC iQ-R de Mitsubishi Electric

Publication date: 
08/06/2021
Importance: 
4 - Alta
Affected resources: 

Los siguientes módulos de CPU de la serie MELSEC iQ-R:

  • R08/16/32/120SFCPU, todas las versiones de firmware;
  • R08/16/32/120PSFCPU, todas las versiones de firmware.
Description: 

Se han publicado 3 vulnerabilidades que afectan a productos Mitsubishi Electric que podrían permitir a un atacante la divulgación de información, el acceso no autorizado o la evasión de autenticación.

Solution: 
  • Mitsubishi Electric está trabajando en una actualización que publicará en el futuro.
  • Mientras tanto, recomienda seguir las siguientes medidas de mitigación:
    • utilizar un cortafuegos o una red privada virtual (VPN), etc., para impedir el acceso no autorizado cuando se requiera el acceso a Internet.
    • utilizar los equipos dentro de una LAN y bloquear el acceso desde redes y hosts no confiables a través de cortafuegos.
    • utilizar la función de filtro IP para restringir las direcciones IP accesibles.
Detail: 
  • Un atacante remoto puede adquirir nombres de usuario legítimos registrados en el módulo mediante un ataque de fuerza bruta a los nombres de usuario para obtener información sensible. Se ha asignado el identificador CVE-2021-20594 para esta vulnerabilidad.
  • Al registrar la información del usuario en el módulo de la CPU o cambiar la contraseña, un atacante remoto puede interceptar el tráfico de la red y obtener las credenciales, pudiendo ser capaz de iniciar sesión en el módulo de la CPU sin autorización. Se ha asignado el identificador CVE-2021-20597 para esta vulnerabilidad.
  • Un atacante remoto puede obtener las credenciales, y podría ser capaz de iniciar sesión en el módulo de la CPU sin autorización. Se ha asignado el identificador CVE-2021-20598 para esta vulnerabilidad.

Encuesta valoración