Introducció
S’ha actualitzat un avís de vulnerabilitats publicat el 25/11/2023 [1] en el qual s’amplien els models afectats.
Anàlisi
La vulnerabilidad de severidad crítica asociada al producto afectado es la siguiente:
- CVE-2022-29830: Ús de claus de xifratge codificades (CWE-321)[2] :
L’impacte potencial pot incloure que la informació confidencial pot divulgar-se o alterar-se, la qual cosa resulta en l’adquisició no autoritzada d’informació sobre els fitxers del projecte.
- CVE-2022-29830: Ús de claus de xifratge codificades (CWE-321)[2] :
El software i les seues versions afectades:
- GX Works3:
- 1.000A o posteriors, i 1.011M i anteriors.
- 1.015R o posteriors, i 1.086Q i anteriors.
- 1.087R o posteriors.
- 1090U [30/05/2023]
- Motion Control Settings (Software relacionat amb GX Works3):
- 1.000A a 1.033K. [30/05/2023]
- 1.035M a 1.042U. [30/05/2023]
- 1.045X o posteriores. [30/05/2023]
- GX Works3:
Recomanacions
Per part de Mitsubishi està planejada properament la publicació de les correccions. Fins aleshores, s’aconsella aplicar les mesures de mitigació següents:
- Assegurar-se que els atacants maliciosos no puguen accedir, mitjançant xarxes no fiables, a fitxers de projectes o claus de seguretat que estiguen emmagatzemades a l’ordinador/servidor i els fitxers de configuració que estiguen guardades a l’ordinador personal que executa el software.
- Instal·lar software antivirus al teu ordinador personal que executa el software afectat.
- Encriptar els fitxers de projecte i les claus de seguretat quan s’envien o reben a través d’internet.
Referències
[1] [SCI] Nova vulnerabilitat crítica detectada en productes Mitsubishi Electric[2] Multiple Vulnerabilities in Multiple FA Engineering Software