La Agencia de Protección de Infraestructura y Ciberseguridad de EE.UU. (CISA) emitió esta semana una advertencia de múltiples vulnerabilidades en el software de ingeniería Mitsubishi Electric GX Works3.
La explotación exitosa de estas vulnerabilidades permite a los atacantes no autorizados ver y ejecutar programas, obtener acceso a los módulos de procesador de la serie MELSEC iQ-R/F/L y al módulo de servidor de la serie MELSEC iQ-R OPC UA, afirma la agencia.
GX Works3 es la última generación de software de programación y mantenimiento de Mitsubishi Electric diseñada específicamente para los sistemas de control de la serie MELSEC iQ-R. Incluye muchas características nuevas, como la configuración del sistema gráfico, herramientas de posicionamiento integradas, soporte multilingüe, lo que crea un entorno de desarrollo intuitivo.
Los expertos dividieron 10 vulnerabilidades descubiertas en varios grupos:
- Tres vulnerabilidades están relacionadas con el almacenamiento de datos confidenciales.
- Cuatro de las vulnerabilidades están relacionadas con el uso de una clave criptográfica codificada.
- Dos usan una contraseña codificada.
- Una se refiere a la protección de credenciales inadecuada.
Los fallos de seguridad más peligrosos son CVE-2022-25164 y CVE-2022-29830, con una puntuación de 9,1 sobre 10 en la escala CVSS. Los atacantes pueden usarlos para obtener acceso al módulo del procesador y recopilar información sobre los archivos del proyecto sin obtener ningún permiso.
Otra vulnerabilidad descubierta por Nozomi Networks ha recibido el identificador CVE-2022-29831 y una puntuación de 7,5 sobre 10 en la escala CVSS: 7,5. Este agujero de seguridad puede ser aprovechado por un hacker que ya tiene acceso al archivo de proyecto del PLC de seguridad.
Usando una contraseña codificada, un ciberdelincuente puede obtener acceso directo a la CPU del PLC de seguridad e interrumpir los procesos industriales.
