Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 06/11/2020

Importancia: Crítica

Recursos afectados:

Los siguientes modelos de GOT1000 con CoreOS, versión 05.65.00.BD y anteriores, se ven afectados:

• GT1455-QTBDE,
• GT1450-QMBDE,
• GT1450-QLBDE,
• GT1455HS-QTBDE,
• GT1450HS-QMBDE.

Descripción:

Mitsubishi Electric ha reportado 6 vulnerabilidades al CISA, 2 con severidad crítica, 3 altas y 1 media, de tipo restricción incorrecta de operaciones dentro de los límites de un búfer de memoria, control de acceso inadecuado, fijación de sesión, desreferencia a puntero nulo, inyección de argumento y errores de gestión de recursos.

Solución:

Siguiendo los pasos descritos en el aviso 2020-014_en del fabricante, actualizar Core OS a la versión 05.76.00.BG y posteriores (MELSOFT GT Designer3 Version1 [GOT1000], versión 1.245F y posteriores).

Detalle:

Las vulnerabilidades de severidad crítica se describen a continuación:

• El producto afectado tiene una vulnerabilidad de corrupción de memoria, que podría permitir que un atacante enviase un paquete, especialmente diseñado, que podría resultar en una condición de denegación de servicio (DoS) o ejecución de código. Se ha asignado el identificador CVE-2020-5644 para esta vulnerabilidad.
• El producto afectado tiene un problema de control de acceso, que podría permitir que un atacante enviase un paquete, especialmente diseñado, que podría resultar en una condición de denegación de servicio (DoS) o ejecución de código. Se ha asignado el identificador CVE-2020-5647 para esta vulnerabilidad.

Para el resto de vulnerabilidades, se han asignado los siguientes identificadores: CVE-2020-5645, CVE-2020-5646, CVE-2020-5648 y CVE-2020-5649.

Etiquetas: Actualización, Infraestructuras críticas, Vulnerabilidad