Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03590

Опубликовано: 29 июн. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость модулей Ethernet FX3U-ENET-ADP и Ethernet FX3U-ENET(-L) микропрограммного обеспечения программируемых логических контроллеров MELSEC iQ-F серии FX3U, FX3UC, FX3G, FX3GC-32MT, FX3GE, FX3GA, FX3S и FX3SA связана с обходом процедуры аутентификации с помощью захвата-воспроизведения (capture-replay) перехваченных параметров. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и сбросить настройки для входа в систему путем отправки специально сформированных пакетов

Вендор

Mitsubishi Electric Corporation

Наименование ПО

MELSEC iQ-F Series FX3U
MELSEC iQ-F Series FX3UC
MELSEC iQ-F Series FX3G
MELSEC iQ-F Series FX3GC-32MT
MELSEC iQ-F Series FX3GE
MELSEC iQ-F Series FX3GA
MELSEC iQ-F Series FX3S
MELSEC iQ-F Series FX3SA

Версия ПО

- (MELSEC iQ-F Series FX3U)
- (MELSEC iQ-F Series FX3UC)
- (MELSEC iQ-F Series FX3G)
- (MELSEC iQ-F Series FX3GC-32MT)
- (MELSEC iQ-F Series FX3GE)
- (MELSEC iQ-F Series FX3GA)
- (MELSEC iQ-F Series FX3S)
- (MELSEC iQ-F Series FX3SA)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-005_en.pdf
Компенсирующие меры:
- использование сторонних средств контроля доступа пользователей (VPN и др.) к программному продукту из общедоступных сетей (Интернет);
- настройка функцию IP-фильтра, чтобы заблокировать доступ с ненадежных хостов (Подробную информацию о функции IP-фильтра можно найти в руководстве пользователя для каждого продукта);
- ограничить физический доступ к уязвимым продуктам.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 25%
0.00086
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-2846

CVSS3: 7.5
nvd
больше 2 лет назад

Authentication Bypass by Capture-replay vulnerability in Mitsubishi Electric Corporation MELSEC iQ-F Series main modules allows a remote unauthenticated attacker to cancel the password/keyword setting and login to the affected products by sending specially crafted packets.

github логотип

GHSA-f86h-3pcp-x4mw

CVSS3: 7.5
github
больше 2 лет назад

Authentication Bypass by Capture-replay vulnerability in Mitsubishi Electric Corporation MELSEC iQ-F Series main modules allows a remote unauthenticated attacker to cancel the password/keyword setting and login to the affected products by sending specially crafted packets.

EPSS

Процентиль: 25%
0.00086
Низкий

7.5 High

CVSS3

7.8 High

CVSS2