Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-06988

Опубликовано: 13 окт. 2023
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения программируемых логических контроллеров MELSEC-F связана с нарушением аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности

Вендор

Mitsubishi Electric Corporation

Наименование ПО

MELSEC-F FX3U
MELSEC-F FX3U-32MR/UA1
MELSEC-F FX3U-64MR/UA1
MELSEC-F FX3U-32MS/ES
MELSEC-F FX3U-64MS/ES
MELSEC-F FX3U-xMy/ES-A
MELSEC-F FX3UC-xMT/z
MELSEC-F FX3UC-16MR/D-T
MELSEC-F FX3UC-16MR/DS-T
MELSEC-F FX3UC-32MT-LT
MELSEC-F FX3UC-32MT-LT-2
MELSEC-F FX3UC-16MT/D-P4
MELSEC-F FX3UC-16MT/DSS-P4
MELSEC-F FX3G-xMy/ES-A
MELSEC-F FX3G-xMy/z
MELSEC-F FX3GC-32MT/DSS
MELSEC-F FX3GC-32MT/D
MELSEC-F FX3GE
MELSEC-F FX3GA
MELSEC-F FX3S
MELSEC-F FX3SA-xMy-CM
MELSEC-F FX3S-30My/z-2AD

Версия ПО

- (MELSEC-F FX3U)
- (MELSEC-F FX3U-32MR/UA1)
- (MELSEC-F FX3U-64MR/UA1)
- (MELSEC-F FX3U-32MS/ES)
- (MELSEC-F FX3U-64MS/ES)
- (MELSEC-F FX3U-xMy/ES-A)
- (MELSEC-F FX3UC-xMT/z)
- (MELSEC-F FX3UC-16MR/D-T)
- (MELSEC-F FX3UC-16MR/DS-T)
- (MELSEC-F FX3UC-32MT-LT)
- (MELSEC-F FX3UC-32MT-LT-2)
- (MELSEC-F FX3UC-16MT/D-P4)
- (MELSEC-F FX3UC-16MT/DSS-P4)
- (MELSEC-F FX3G-xMy/ES-A)
- (MELSEC-F FX3G-xMy/z)
- (MELSEC-F FX3GC-32MT/DSS)
- (MELSEC-F FX3GC-32MT/D)
- (MELSEC-F FX3GE)
- (MELSEC-F FX3GA)
- (MELSEC-F FX3S)
- (MELSEC-F FX3SA-xMy-CM)
- (MELSEC-F FX3S-30My/z-2AD)

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- ограничение доступа из внешних сетей (Интернет).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 46%
0.00232
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-4562

CVSS3: 9.1
nvd
больше 2 лет назад

Improper Authentication vulnerability in Mitsubishi Electric Corporation MELSEC-F Series main modules allows a remote unauthenticated attacker to obtain sequence programs from the product or write malicious sequence programs or improper data in the product without authentication by sending illegitimate messages.

github логотип

GHSA-3728-9cr9-4xwr

CVSS3: 9.1
github
больше 2 лет назад

Improper Authentication vulnerability in Mitsubishi Electric Corporation MELSEC-F Series main modules allows a remote unauthenticated attacker to obtain sequence programs from the product or write malicious sequence programs or improper data in the product without authentication by sending illegitimate messages.

EPSS

Процентиль: 46%
0.00232
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2