Критические уязвимости в продуктах Mitsubishi Electric дают доступ к инженерным рабочим станциям

Уязвимости инженерных рабочих станций Mitsubishi Electric позволяют успешно обойти аутентификацию и удаленно выполнить код на скомпрометированных устройствах. В компании отметили, что выявленные проблемы представляют угрозы для решений EZSocket, FR Configurator2, GT Designer3, GX and MT Works, MELSOFT Navigator и MX.

CVE-2023-6942 (7.5 по CVSS) позволяет атакующему обойти аутентификацию через отправку специальных пакетов. С помощью CVE-2023-6943 (9.8 по CVSS) он может удаленно выполнить код, обращаясь к библиотеке с вредоносным содержимым во время соединения с уязвимым продуктом. Результатом совместного использования этих двух уязвимостей может стать раскрытие, модификация или уничтожение информации, а также совершить DoS-атаку на промышленные решения компании.

Компании пока только предстоит выпустить обновления, чтобы исправить обнаруженные проблемы. Пока же в Mitsubishi Electric посоветовали клиентам усилить общие меры безопасности для снижения риска использования выявленных угроз в реальных атаках.