Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en varios productos de Mitsubishi Electric

Fecha de publicación: 30/10/2020

Importancia: Crítica

Recursos afectados:

Las siguientes versiones de MELSEC iQ-R Series están afectadas:

  • R 00/01/02 CPU, versiones de firmware 20 y anteriores;
  • R 04/08/16/32/120 (EN) CPU, versiones de firmware 52 y anteriores;
  • R 08/16/32/120 SFCPU, versiones de firmware 22 y anteriores;
  • R 08/16/32/120 PCPU, todas las versiones;
  • R 08/16/32/120 PSFCPU, todas las versiones;
  • R 16/32/64 MTCPU, todas las versiones.

Los siguientes módulos de MELSEC iQ-R Series están afectados:

  • EtherNet/IP Network Interface Module, RJ71EIP91: si los primeros 2 dígitos del número de serie son 02 o anteriores;
  • PROFINET IO Controller Module, RJ71PN92: si los primeros 2 dígitos del número de serie son 01 o anteriores;
  • High Speed Data Logger Module, RD81DL96: si los primeros 2 dígitos del número de serie son 08 o anteriores;
  • MES Interface Module, RD81MES96N: si los primeros 2 dígitos del número de serie son 04 o anteriores;
  • OPC UA Server Module, RD81OPC96: si los primeros 2 dígitos del número de serie son 04 o anteriores.

Las siguientes versiones de MELSEC Q Series están afectadas:

  • Q03 UDECPU, Q 04/06/10/13/20/26/50/100 UDEHCPU, número de serie 22081 y anteriores;
  • Q 03/04/06/13/26 UDVCPU, número de serie 22031 y anteriores;
  • Q 04/06/13/26 UDPVCPU, número de serie 22031 y anteriores;
  • Q 172/173 DCPU hasta Q 172/173 DCPU-S1, todas las versiones;
  • Q 172/173 DSCPU, todas las versiones;
  • Q 170 MCPU, todas las versiones;
  • Q 170 MSCPU hasta Q 170 MSCPU (-S1), todas las versiones;
  • MR-MQ100, todas las versiones.

Las siguientes versiones de MELSEC L Series están afectadas:

  • L 02/06/26 CPU (-P), L 26 CPU - (P) BT, todas las versiones.

Descripción:

Mitsubishi Electric ha reportado 7 vulnerabilidades, 2 con severidad crítica, 4 altas y 1 media, de tipos restricción incorrecta de operaciones dentro de los límites de un búfer de memoria, control de acceso inadecuado, fijación de sesión, desreferencia a puntero nulo, inyección de argumento, consumo descontrolado de recursos y errores de gestión de recursos.

Solución:

Consultar la sección de Countermeasures de los dos avisos oficiales del fabricante (2020-012_en y 2020-013_en) para aplicar las actualizaciones adecuadas.

Detalle:

Las vulnerabilidades con severidad crítica podrían permitir que un atacante remoto, no autenticado, detuviese las funciones de red de los productos o ejecutase un programa malicioso a través de un paquete especialmente diseñado. Se han asignado los identificadores CVE-2020-5653 y CVE-2020-5656 para estas vulnerabilidades.

Para el resto de vulnerabilidades, se han asignado los identificadores: CVE-2020-5654, CVE-2020-5655, CVE-2020-5657, CVE-2020-5652 y CVE-2020-5658.

Etiquetas: Actualización, Infraestructuras críticas, Vulnerabilidad