Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Zerbitzuaren ukapen erako ahultasuna Mitsubishi Electric-en MELSEC-Q serieko PLC-n

Argitalpen data: 2019/01/30

Garrantzia: Handia

Kaltetutako baliabideak:

Ondorengo serieetako PLC MELSEC-Q:

  • 20081 serie zenbakia edo lehenagokoa duten Q03/04/06/13/26UDVCPU eta Q04/06/13/26UDPVCPU.
  • 20101 serie zenbakia edo lehenagokoa duten Q04/06/10/13/20/26/50/100UDEHCPU.

Azalpena:

Amazon-en Customer Fulfillment Technology Security (CFTS) taldeko Tri Quach-ek baliabideen kontrolatu gabeko kontsumo erako ahultasun bat aurkitu du Mitsubishi Electric-en MELSEC-Q serieko PLCetan. Urruneko erasotzaile batek byte bereziak bidal litzake gailura, eta horrela Ethernet komunikazioa etetea lor lezake.

Konponbidea:

  • Mitsubishi Electric-ek kaltetutako produktuentzat firmwarearen bertsio berri bat argitaratu du. Gainera, kaltetutako produktuak suebaki baten atzean kokatzea gomendatzen du.

Xehetasuna:

  • Urruneko erasotzaile batek paketeak bidal litzake 5007 atakara eta ondorioz Ethernet pilan akats bat eragingo luke. Ahultasun horretarako CVE-2019-6535 identifikatzailea erabili da.
Etiketak: Eguneraketa, Komunikazioak, Ahultasuna