Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02735

Опубликовано: 19 мая 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость модуля связи для контроллера безопасности Mitsubishi Electric WS0-GETH00200 связана с отсутствием аутентификации. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, повысить свои привилегии и получит доступ к устройству с помощью сетевого протокола TELNET

Вендор

Mitsubishi Electric Corporation

Наименование ПО

WS0-GETH00200

Версия ПО

- (WS0-GETH00200)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:
1. Установка надежного пароля для сеансов сеансов telnet (пароль может содержать до 15 символов):
- введите «telnet[space]», затем IP-адрес устройства и нажмите клавишу Enter;
- когда отобразится «Password», нажмите клавишу Enter;
- когда отобразится «telnet>», введите «password[space]», затем пароль и нажмите клавишу Enter.
- введите «quit» и нажмите клавишу Enter.
Убедитесь, что пароль установлен:
- после процесса установки пароля введите «telnet[space]», затем IP-адрес устройства и нажмите клавишу Enter;
- когда отобразится «Password», введите строку пароля, установленную в процессе установки пароля, и нажмите клавишу Enter;
- если отображается "telnet>", пароль установлен правильно.
2. Использование сторонних средств контроля доступа пользователей (VPN и др.) к программному продукту из общедоступных сетей (Интернет).
3. Сегментирование сети с целью ограничения доступа к промышленному оборудованию.
Использование рекомендаций производителя:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-002_en.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 33%
0.00133
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-1618

CVSS3: 7.5
nvd
больше 2 лет назад

Active Debug Code vulnerability in Mitsubishi Electric Corporation MELSEC WS Series WS0-GETH00200 Serial number 2310 **** and prior allows a remote unauthenticated attacker to bypass authentication and illegally log into the affected module by connecting to it via telnet which is hidden function and is enabled by default when shipped from the factory. As a result, a remote attacker with unauthorized login can reset the module, and if certain conditions are met, he/she can disclose or tamper with the module's configuration or rewrite the firmware.

github логотип

GHSA-37vx-v53j-77pr

CVSS3: 7.5
github
больше 2 лет назад

Active Debug Code vulnerability in Mitsubishi Electric Corporation MELSEC WS Series WS0-GETH00200 all versions allows a remote unauthenticated attacker to bypass authentication and illegally log into the affected module by connecting to it via telnet which is hidden function and is enabled by default when shipped from the factory. As a result, a remote attacker with unauthorized login can reset the module, and if certain conditions are met, he/she can disclose or tamper with the module's configuration or rewrite the firmware.

EPSS

Процентиль: 33%
0.00133
Низкий

7.5 High

CVSS3

7.8 High

CVSS2