BDU:2024-00870

Опубликовано: 30 янв. 2024

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость программных продуктов Mitsubishi Electric EZSocket, FR Configurator2, GT Designer3 Version1(GOT1000), GT Designer3 Version1(GOT2000), GX Works2, GX Works3, MELSOFT Navigator, MT Works2, MX Component, MX OPC Server DA/UA (Software packaged with MC Works64) связана с применением входных данных с внешним управлением для выбора классов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения в процесс загрузки обращения к вредоносной библиотеке

Вендор

Mitsubishi Electric Corporation

Наименование ПО

GX Works3

EZSocket

FR Configurator2

GT Designer3 Version1 (GOT2000)

GT Designer3 Version1(GOT1000)

GX Works2

MELSOFT Navigator

MT Works2

MX Component

MX OPC Server DA/UA

Версия ПО

- (GX Works3)

до 3.0 включительно (EZSocket)

- (FR Configurator2)

- (GT Designer3 Version1 (GOT2000))

- (GT Designer3 Version1(GOT1000))

- (GX Works2)

до 1.04E включительно (MELSOFT Navigator)

- (MT Works2)

до 4.00A включительно (MX Component)

- (MX OPC Server DA/UA)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- сегментирование сети с целью ограничения доступа к промышленному сегменту;

- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к промышленному сегменту;

- использование антивирусных средств защиты для отслеживания средств эксплуатации уязвимости;

- ограничение доступа к промышленному сегменту из внешних сетей (Интернет);

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:

https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-020_en.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 88%

0.0397

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2023-6943

CVSS3: 9.8

nvd

около 2 лет назад

Use of Externally-Controlled Input to Select Classes or Code ('Unsafe Reflection') vulnerability in Mitsubishi Electric Corporation EZSocket versions 3.0 to 5.92, GT Designer3 Version1(GOT1000) versions 1.325P and prior, GT Designer3 Version1(GOT2000) versions 1.320J and prior, GX Works2 versions 1.11M to 1.626C, GX Works3 versions 1.106L and prior, MELSOFT Navigator versions 1.04E to 2.102G, MT Works2 versions 1.190Y and prior, MX Component versions 4.00A to 5.007H and MX OPC Server DA/UA all versions allows a remote unauthenticated attacker to execute a malicious code by RPC with a path to a malicious library while connected to the products.

GHSA-8g5q-mp2w-j766

CVSS3: 9.8

github

около 2 лет назад

Use of Externally-Controlled Input to Select Classes or Code ('Unsafe Reflection') vulnerability in Mitsubishi Electric Corporation EZSocket versions 3.0 and later, FR Configurator2 all versions, GT Designer3 Version1(GOT1000) all versions, GT Designer3 Version1(GOT2000) all versions, GX Works2 versions 1.11M and later, GX Works3 all versions, MELSOFT Navigator versions 1.04E and later, MT Works2 all versions, MX Component versions 4.00A and later and MX OPC Server DA/UA all versions allows a remote unauthenticated attacker to execute a malicious code by RPC with a path to a malicious library while connected to the products.

EPSS

Процентиль: 88%

0.0397

Низкий

7.5 High

CVSS3

7.8 High

CVSS2