[SCI] [Actualización 30/06/2023] Vulnerabilidad en productos Mitsubishi Electric

Introducción

Se ha publicado una segunda actualización del aviso de vulnerabilidades del 25/11/2023 [1] en el que se amplían los modelos afectados.

Análisis

La vulnerabilidad de severidad crítica asociada al producto afectado es la siguiente:

    • CVE-2022-29830: Uso de claves de cifrado codificadas (CWE-321)[2] :
      El impacto potencial puede incluir que la información confidencial puede divulgarse o alterarse, lo que resulta en la adquisición no autorizada de información sobre los archivos del proyecto.

El software y sus versiones afectadas:

    • GX Works3:
      • 1.000A o posteriores, y 1.011M y anteriores.
      • 1.015R o posteriores, y 1.086Q y anteriores.
      • 1.087R o posteriores.
      • 1090U [30/05/2023]
      • 1.095Z, 1.096A y posterior [30/06/2023]
    • Motion Control Settings (Software relacionado con GX Works3):
      • 1.000A a 1.033K. [30/05/2023]
      • 1.035M a 1.042U. [30/05/2023]
      • 1.045X o posteriores. [30/05/2023]

Recomendaciones

GX Works3: Descargue la versión 1.096A o posterior y actualice el software [3]. Ajuste la versión de seguridad a «2».

Por parte de Mitsubishi está planeada próximamente la publicación de las correcciones. Hasta entonces, se aconseja aplicar las siguientes medidas de mitigación:

    • Asegurarse que los atacantes maliciosos no puedan acceder, vía redes no confiables, a ficheros de proyectos o claves de seguridad que estén almacenadas en el ordenador/servidor y los ficheros de configuración que estén guardadas en el ordenador personal que ejecuta el software.
    • Instalar software antivirus en tu ordenador personal que ejecuta el software afectado.
    • Encriptar los ficheros de proyecto y claves de seguridad cuando se envíen o reciban a través de internet.

Referencias

[1] [SCI] Nueva vulnerabilidad crítica detectada en productos Mitsubishi Electric
[2] Multiple Vulnerabilities in Multiple FA Engineering Software
[3] https://www.mitsubishielectric.com/fa/#software