Introducció
S’ha publicat una segona actualització de l’avís de vulnerabilitats del 25/11/2023 [1] en el qual s’amplien els models afectats.
Anàlisi
La vulnerabilitat de severitat crítica associada al producte afectat és la següent:
- CVE-2022-29830: Ús de claus de xifratge codificades (CWE-321)[2] :
L’impacte potencial pot incloure que la informació confidencial pot divulgar-se o alterar-se, la qual cosa resulta en l’adquisició no autoritzada d’informació sobre els arxius del projecte.
- CVE-2022-29830: Ús de claus de xifratge codificades (CWE-321)[2] :
El software i les seues versions afectades:
- GX Works3:
- 1.000A o posteriors, i 1.011M y anteriors.
- 1.015R o posteriors, i 1.086Q y anteriors.
- 1.087R o posteriors.
- 1090U [30/05/2023]
- 1.095Z, 1.096A i posterior [30/06/2023]
- Motion Control Settings (Software relacionat amb GX Works3):
- 1.000A a 1.033K. [30/05/2023]
- 1.035M a 1.042U. [30/05/2023]
- 1.045X o posteriors. [30/05/2023]
- GX Works3:
Recomanacions
GX Works3: Descarregue la versió 1.096A o posterior i actualitze el software [3]. Ajust la versió de seguretat a “2”.
Per part de Mitsubishi està planejada pròximament la publicació de les correccions. Fins llavors, s’aconsella aplicar les següents mesures de mitigació:
- Assegurar-se que els atacants maliciosos no puguen accedir, via xarxes no de confiança, a fitxers de projectes o claus de seguretat que estiguen emmagatzemades en l’ordinador/servidor i els fitxers de configuració que estiguen guardades en l’ordinador personal que executa el software.
- Instal·lar programari antivirus en el teu ordinador personal que executa el software afectat.
- Encriptar els fitxers de projecte i claus de seguretat quan s’envien o reben a través d’internet.
Referències
[1] [SCI] Nueva vulnerabilidad crítica detectada en productos Mitsubishi Electric[2] Multiple Vulnerabilities in Multiple FA Engineering Software
[3] https://www.mitsubishielectric.com/fa/#software