Introducció
Els experts de Positive Technologies: Dmitry Sklyarov i Anton Dorfman, han identificat una vulnerabilitat crítica al software de FA enginyeria de Mitsubishi Electric [1].
Anàlisi
La vulnerabilitat de severitat crítica associada al producte afectat és la següent:
- CVE-2022-29830: Ús de claus de xifratge codificades (CWE-321):
L’impacte potencial pot incloure que la informació confidencial pot divulgar-se o alterar-se, la qual cosa resulta en l’adquisició no autoritzada d’informació sobre els fitxers del projecte.
- CVE-2022-29830: Ús de claus de xifratge codificades (CWE-321):
El software i les seues versions afectades:
- GX Works3:
- 1.000A o posteriors, i 1.011M i anteriors.
- 1.015R o posteriors, i 1.086Q i anteriors.
- 1.087R o posteriors.
- GX Works3:
Recomanacions
Per part de Mitsubishi està planejada properament la publicació de les correccions. Fins aleshores, s’aconsella aplicar les mesures de mitigació següents:
- Assegurar-se que els atacants maliciosos no puguen accedir, mitjançant xarxes no fiables, a fitxers de projectes o claus de seguretat que estiguen emmagatzemades a l’ordinador/servidor i els fitxers de configuració que estiguen guardades a l’ordinador personal que executa el software.
- Instal·lar software antivirus al teu ordinador personal que executa el software afectat.
- Encriptar els fitxers de projecte i les claus de seguretat quan s’envien o reben a través d’internet.
Referències
[1] Multiple Vulnerabilities in Multiple FA Engineering Software