ICS-CERT informuje o nowych podatnościach w produktach firmy Mitsubishi Electric (P24-006)

utworzone przez | sty 5, 2024 | ICS

ProduktGT SoftGOT2000: wersja 1.275M do 1.290C (CVE-2023-0286)
OPC UA Data Collector: wersja 1.04E I wcześniejsze (CVE-2023-0286)
MX OPC Server UA (oprogramowanie w pakiecie z MC Works64): Wersje 3.05F i nowsze (w pakiecie z MC Works64 w wersji 4.03D i nowsze) (CVE-2022-4304)
Serwer OPC UA: Wszystkie wersje (CVE-2022-4304)
FX5-OPC: Wersje 1.006 i wcześniejsze (CVE-2022-4304, CVE-2022-4450)
Numer CVECVE-2022-4304
Krytyczność5,9/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/D:N
OpisProdukty, których dotyczy problem, zawierają zauważalną lukę w zabezpieczeniach związaną z rozbieżnościami czasowymi w implementacji deszyfrowania RSA. Wysyłając specjalnie spreparowane pakiety i przeprowadzając atak w stylu Bleichenbachera – metodę ataku mającą na celu odszyfrowanie tekstu zaszyfrowanego poprzez obserwację zachowania w przypadku wystąpienia błędu dopełnienia, osoba atakująca może odszyfrować tekst zaszyfrowany i ujawnić poufne informacje.
  
Numer CVECVE-2022-4450
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/D:H
OpisProdukty, których dotyczy problem, zawierają podwójną lukę w zabezpieczeniach podczas odczytu pliku PEM. Osoba atakująca może spowodować odmowę usługi (DoS) na produkcie, namawiając uprawnionego użytkownika do zaimportowania złośliwego certyfikatu.
  
Numer CVECVE-2023-0286
Krytyczność7,4/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/D:H
OpisProdukty, których to dotyczy, zawierają lukę w zabezpieczeniach umożliwiającą pomylenie typów związaną z przetwarzaniem adresu X.400 w nazwie ogólnej X.509. Osoba atakująca może ujawnić poufne informacje w pamięci produktu lub spowodować odmowę usługi (DoS) w przypadku produktu, ładując specjalnie spreparowaną listę odwołań certyfikatów (CRL).
  
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-24-004-02