Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/09/02

Garrantzia: Handia

Kaltetutako baliabideak: 

• Q24DHCCPU-V, bertsio guztiak;
• Q24DHCCPU-VG, bertsio guztiak;
• R12CCPU-V, bertsio guztiak;
• RD55UP06-V, bertsio guztiak;
• RD55UP12-V, bertsio guztiak;
• RJ71GN11-T2, bertsio guztiak;
• RJ71EN71, bertsio guztiak;
• QJ71E71-100, bertsio guztiak;
• LJ71E71-100, bertsio guztiak;
• QJ71MT91, bertsio guztiak;
• RD78Gn(n=4,8,16,32,64), bertsio guztiak;
• RD78GHV, bertsio guztiak.
• RD78GHV, bertsio guztiak.
• NZ2GACP620-60, bertsio guztiak.
• NZ2GACP620-300, bertsio guztiak.
• NZ2FT-MT, bertsio guztiak.
• NZ2FT-EIP, bertsio guztiak.
• Q03UDECPU, 22081 serie zenbakiko eta aurrekoetako lehenengo 5 digituak;
• QnUDEHCPU(n=04/06/10/13/20/26/50/100), 22081 serie zenbakiko eta aurrekoetako lehenengo 5 digituak;
• QnUDVCPU(n=03/04/06/13/26), 22031 serie zenbakiko eta aurrekoetako lehenengo 5 digituak;
• QnUDPVCPU(n=04/06/13/2), 22031 serie zenbakiko eta aurrekoetako lehenengo 5 digituak;
• LnCPU(-P)(n=02/06/26), 22051 serie zenbakiko eta aurrekoetako lehenengo 5 digituak;
• L26CPU-(P)BT, 22051 serie zenbakiko eta aurrekoetako lehenengo 5 digituak;
• RnCPU(n=00/01/02), 18 bertsioa eta aurrekoak;
• RnCPU(n=04/08/16/32/120), 50 bertsioa eta aurrekoak;
• RnENCPU(n=04/08/16/32/120), 50 bertsioa eta aurrekoak;
• RnSFCPU (n=08/16/32/120), bertsio guztiak;
• RnPCPU(n=08/16/32/120), bertsio guztiak;
• RnPSFCPU(n=08/16/32/120), bertsio guztiak;
• FX5U(C)-**M*/** 
  • Caso 1: número de serie 17X**** o posteriores: versión 1.210 y anteriores;
  • Caso 2: número de serie 179**** y anteriores: versión 1.070 y anteriores;
• FX5UC-32M*/**-TS, 1.210 bertsioa eta aurrekoak;
• FX5UJ-**M*/**, 1.000 bertsioa;
• FX5-ENET, bertsio guztiak.
• FX5-ENET/IP, bertsio guztiak.
• FX3U-ENET-ADP, bertsio guztiak;
• FX3GE-**M*/**, bertsio guztiak;
• FX3U-ENET, bertsio guztiak.
• FX3U-ENET-L, bertsio guztiak.
• FX3U-ENET-P502, bertsio guztiak.
• FX5-CCLGN-MS, bertsio guztiak.
• IU1-1M20-D, bertsio guztiak.
• LE7-40GU-L, bertsio guztiak.
• GOT2000 Series GT21 Model, bertsio guztiak;
• GS Series, bertsio guztiak;
• GOT1000 Series GT14 Model, bertsio guztiak;
• GT25-J71GN13-T2, bertsio guztiak.
• FR-A800-E Series, bertsio guztiak;
• FR-A800-E Series, bertsio guztiak;
• FR-A8NCG, 2020ko abuztuko ekoizpen data eta aurrekoak;
• FR-E800-EPA Series, 2020ko uztaileko ekoizpen data eta aurrekoak;
• FR-E800-EPA Series, 2020ko uztaileko ekoizpen data eta aurrekoak;
• Conveyor Tracking Application APR-nTR3FH, APR-nTR6FH, APR-nTR12FH, APR-nTR20FH(n=1,2), bertsio guztiak (produktu ez jarraia);
• MR-JE-C, bertsio guztiak;
• RJ-J4NTM, bertsio guztiak.

Azalpena: 

Trend Micro erakundeko TXOne IoT/ICS Security Research Labs taldeko Ta-Lun Yen ikertzaileak, Trend Microren Zero Day Initiative ekimenarekin elkarlanean, jakinarazi du legezko gailu baten ordezpen motako larritasun handiko ahultasun bat atzeman dutela. Mitsubishi Electric etxearen hainbat produkturi eragiten die.

Konponbidea: 

Mitsubishi Electric konpainiak erabiltzaileei gomendatu die honako neurriak hartzeko, ahultasunak dakarren arriskua minimizatzeko:

• Segurtasun-gomendio orokorrak: firewall, VPN, LAN eta antibirus eguneratua erabiltzea.
• RnCPU (n = 00/01/02), 18 bertsioa eta aurrekoak: 19 edo osteko bertsioen arabera eguneratzea;
• RnCPU (n = 04/08/16/32/120), 50 bertsioa eta aurrekoak: 51 edo osteko bertsioen arabera eguneratzea;
• RnENCPU (n = 04/08/16/32/120), 50 bertsioa eta aurrekoak: 51 edo osteko bertsioen arabera eguneratzea;
• FX5U (C) - ** M * / ** 
• 
  
  • 1. kasua: 17X *** serie zenbakia edo ostekoa, 1.210 bertsioa eta aurrekoa: 1.211 edo osteko bertsioen arabera eguneratzea;
  • 2. kasua: 179 *** serie zenbakia eta aurrekoa, 1.070 bertsioa eta aurrekoa: 1.071 edo osteko bertsioen arabera eguneratzea;
• FX5UC-32M * / ** - TS, 1.210 bertsioa eta aurrekoak: 1.211 edo osteko bertsioen arabera eguneratzea;
• FX5UJ - ** M * / **, 1.000 bertsioa: 1.001 bertsiora edo osteko batera eguneratzea.

Xehetasuna: 

Baliteke erasotzaile batek gailuen ordeztea egitea kaltetutako produktuetan. Horren ondorioz, erasotzaile batek komando arbitrarioak exekutatu litzake urrutitik. Ahultasun horretarako, CVE-2020-16226 identifikatzailea erreserbatu da.

Etiketak: Eguneratzea, Azpiegitura kritikoak, Ahultasuna.