Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad de denegación de servicio en PLC de la serie MELSEC-Q de Mitsubishi Electric

Fecha de publicación: 30/01/2019

Importancia: Alta

Recursos afectados:

PLC MELSEC-Q de las series:

  • Q03/04/06/13/26UDVCPU y Q04/06/13/26UDPVCPU con número de serie 20081 y anteriores.
  • Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU con número de serie 20101 y anteriores.

Descripción:

Tri Quach del grupo Customer Fulfillment Technology Security (CFTS) de Amazon ha identificado una vulnerabilidad de tipo consumo de recursos no controlado en los PLC de la serie MELSEC-Q de Mitsubishi Electric. Un atacante remoto podría enviar bytes específicos al dispositivo consiguiendo que la comunicación Ethernet se pare.

Solución:

  • Mitsubishi Electric ha publicado una nueva versión del firmware para los productos afectados. Además, recomienda que los productos afectados se situen detrás de un cortafuegos.

Detalle:

  • Un atacante remoto podría enviar paquetes al puerto 5007 con la consecuencia de un error en la pila Ethernet. Se ha asignado el identificador CVE-2019-6535 para esta vulnerabilidad.

Etiquetas: Actualización, Comunicaciones, Vulnerabilidad