Introducción
Se ha publicado una segunda actualización del aviso de vulnerabilidades del 25/11/2023 [1] en el que se amplían los modelos afectados.
Análisis
La vulnerabilidad de severidad crítica asociada al producto afectado es la siguiente:
- CVE-2022-29830: Uso de claves de cifrado codificadas (CWE-321)[2] :
El impacto potencial puede incluir que la información confidencial puede divulgarse o alterarse, lo que resulta en la adquisición no autorizada de información sobre los archivos del proyecto.
- CVE-2022-29830: Uso de claves de cifrado codificadas (CWE-321)[2] :
El software y sus versiones afectadas:
- GX Works3:
- 1.000A o posteriores, y 1.011M y anteriores.
- 1.015R o posteriores, y 1.086Q y anteriores.
- 1.087R o posteriores.
- 1090U [30/05/2023]
- 1.095Z, 1.096A y posterior [30/06/2023]
- Motion Control Settings (Software relacionado con GX Works3):
- 1.000A a 1.033K. [30/05/2023]
- 1.035M a 1.042U. [30/05/2023]
- 1.045X o posteriores. [30/05/2023]
- GX Works3:
Recomendaciones
GX Works3: Descargue la versión 1.096A o posterior y actualice el software [3]. Ajuste la versión de seguridad a «2».
Por parte de Mitsubishi está planeada próximamente la publicación de las correcciones. Hasta entonces, se aconseja aplicar las siguientes medidas de mitigación:
- Asegurarse que los atacantes maliciosos no puedan acceder, vía redes no confiables, a ficheros de proyectos o claves de seguridad que estén almacenadas en el ordenador/servidor y los ficheros de configuración que estén guardadas en el ordenador personal que ejecuta el software.
- Instalar software antivirus en tu ordenador personal que ejecuta el software afectado.
- Encriptar los ficheros de proyecto y claves de seguridad cuando se envíen o reciban a través de internet.
Referencias
[1] [SCI] Nueva vulnerabilidad crítica detectada en productos Mitsubishi Electric[2] Multiple Vulnerabilities in Multiple FA Engineering Software
[3] https://www.mitsubishielectric.com/fa/#software