Se ha reportado una vulnerabilidad en Mitsubishi Electric MELSEC FX-SeriesControllers que podría permitir a un atacante remoto provocar una denegación de servicio a través de parámetros especialmente manipulados.
MELSEC FX-Series es una familia de controladores lógicos ampliamente utilizados en sectores industriales, comerciales, sector energético, sistemas de gestión de agua…etc. Incorpora soporte para redes de comunicaciones, fuente de alimentación, CPU, unidad E/S. Este tipo de controladores presenta un gran número de especificaciones, con un sistema de configuración flexible, y en un tamaño compacto.
La vulnerabilidad descubierta por Ralf Spenneberg de OpenSource Security, tiene asignada el identificador CVE-2015-3938. El problema reside en el tratamiento incorrecto de parámetros especialmente largos en la aplicación HTTP. Esto podría ser aprovechado por un atacante remoto no autenticado para provocar una denegación de servicio a través de parámetros especialmente manipulados. Será necesario el reinicio del dispositivo tras un ataque exitoso.
Desde abril de este año los nuevos dispositivos MELSEC FX-Series fabricados por Mitsubishi Electric no se ven afectados por esta vulnerabilidad. Sin embargo, el fabricante no garantiza que el firmware de esos nuevos controladores pueda usarse en los controladores antiguos. Lamentablemente tampoco se planea el lanzamiento de una actualización de firmware para los dispositivos afectados.
Se recomienda tomar las siguientes contramedidas:
- Reducir la exposición a la red, controlando que no sean accesibles desde Internet.
- Uso de cortafuegos y control del sistema de red local empresarial.
- Si se requiere acceso remoto, usar métodos seguros como redes privadas virtuales (VPNs).
Más información:
Denial of service in Mitsubishi Electric MELSEC FX-Series Controllers
MELSEC-F Series
Juan Sánchez
