Mitsubishi Electric ha publicado 4 (cuatro) vulnerabilidades en varios productos de software SCADA destacados y advirtió que actores malintencionados podrían explotar estos errores para realizar denegación de servicio (DoS), evasión de autenticación y divulgación de información.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica”, 1 (una) de severidad “Alta” y 2 (dos) de severidad “Media”. Estas son CVE-2022-23128, CVE-2022-23129, CVE-2022-23130 y CVE-2022-23127, que se detallan a continuación:
- CVE-2022-23128 de severidad crítica, con una puntuación de 9.8. Esta vulnerabilidad es debida a una incompleta lista de entradas permitidas en GENESIS64 y MC Works64, ya que enviando paquetes de WebSocket maliciosos al servidor FrameWorX se podría obtener acceso no autorizado a las mismas. Un atacante podría realizar una evasión de autenticación en el sistema afectado.
- CVE-2022-23129 de severidad alta, con una puntuación de 7.7. Esta vulnerabilidad se debe a que el manejo de las contraseñas se almacena en texto plano cuando la información de configuración es exportada. Mediante la función linkage de la base de datos de GENESIS64 y MC Works64, el archivo resultante queda en formato CSV y este contiene toda la información de las autenticaciones. Un atacante de manera local podría acceder a las informaciones de autenticación del sistema afectado.
- CVE-2022-23130 de severidad media, con una puntuación de 5.9. Esta vulnerabilidad se debe a un error en la lectura del búfer de la base de datos del servidor de GENESIS64 y MC Works64, en caso de que un usuario autenticado importe el archivo de configuración que contenga un procedimiento almacenado malicioso. A partir de dicho error, un atacante podría ocasionar denegación de servicio (DoS) en el sistema afectado.
- CVE-2022-23127 de severidad media, con una puntuación de 4.2. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario en MC Works64 mobile monitoring. Como consecuencia, un atacante podría realizar ataques de Cross-Site Scripting (XSS) en el sistema afectado.
Estos son los productos de Mitsubishi Electric afectados por las vulnerabilidades:
- GENESIS64 versión 10.97 y anteriores.
- MC Works64 versión 4.00A a 4.04E.
Recomendamos instalar las actualizaciones correspondientes provistas por Mitsubishi Electric en los siguientes enlaces:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-sci/multiples-vulnerabilidades-productos-mitsubishi-electric-1
- https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-026_en.pdf
- https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-027_en.pdf
- https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-028_en.pdf
- https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-025_en.pdf