Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Consumo de recursos no controlado en MELSEC-Q Series de Mitsubishi Electric

Fecha de publicación: 22/05/2019

Importancia: Alta

Recursos afectados:

  • Módulo de Ethernet QJ71E71-100 de MELSEC-Q Series, con número de serie 20121 y anteriores.

Descripción:

Los investigadores Younes Dragoni y Alessandro Di Pinto, de Nozomi Networds, han reportado una vulnerabilidad de tipo consumo de recursos no controlado. La explotación exitosa de esta vulnerabilidad, por parte de un atacante, puede hacer que el dispositivo no responda, teniendo que reiniciar físicamente el PLC.

Solución:

  • El fabricante recomienda actualizar el módulo QJ71E71-100 a la versión de firmware 20122 para solventar esta vulnerabilidad.

Detalle:

  • Un atacante podría enviar paquetes TCP, específicamente diseñados, contra el servicio FTP, forzando a los dispositivos de destino a entrar en un modo de error y provocar una condición de denegación de servicio. Se ha reservado el CVE-2019-10977 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad