漏洞预警：Mitsubishi Electric MELSEC-F Series安全漏洞

一、漏洞概述

Mitsubishi Electric MELSEC-F Series是日本三菱电机（Mitsubishi Electric）公司推出的一系列先进的可编程逻辑控制器（PLC），用于各种工业自动化和控制应用。ELSEC-F Series PLC适用于广泛的应用领域，包括工业自动化、制造、能源管理、楼宇控制、交通系统等。它们用于解决各种自动化和控制需求。MELSEC-F Series支持多种通信接口，包括以太网、串行通信、PROFINET、Modbus等，以便与其他设备和系统进行数据交换和远程监控，MELSEC-F Series PLC支持多种编程语言，包括梯形图、结构化文本编程（ST）、功能块图（FB）和顺序功能图（SFC）。这使得工程师可以选择最适合其应用的编程方法。

Mitsubishi Electric MELSEC-F Series存在身份验证不当漏洞，该漏洞源于MELSEC-F系列主模块中存在因认证不当而导致的信息泄露、信息篡改和认证绕过漏洞。成功利用此漏洞可使远程攻击者无需身份验证即可从产品获取序列程序、编写恶意序列程序或不当数据。

 

以下是漏洞详情：

漏洞编号	漏洞类型	CVSS
CVE-2023-4562	身份验证不当	9.1

 

  

二、受影响的产品

以下版本的 Mitsubishi Electric MELSEC-F Series会受到影响：

l MELSEC-F 系列 FX3U-xMy/z x=16,32,48,64,80,128， y=T，R， z=ES，ESS，DS，DSS：所有版本。

l MELSEC-F 系列 FX3U-32MR/UA1， FX3U-64MR/UA1：所有版本。

l MELSEC-F FX3U-32MS/ES， FX3U-64MS/ES：所有版本。

l MELSEC-F FX3U-xMy/ES-A x=16,32,48,64,80,128，y=T，R：所有版本。

l MELSEC-F FX3UC-xMT/z x=16,32,64,96， z=D，DSS：所有版本。

l MELSEC-F FX3UC-16MR/D-T， FX3UC-16MR/DS-T：所有版本。

l MELSEC-F FX3UC-32MT-LT， FX3UC-32MT-LT-2：所有版本。

l MELSEC-F FX3UC-16MT/D-P4， FX3UC-16MT/DSS-P4：所有版本。

l MELSEC-F FX3G-xMy/z x=14,24,40,60， y=T，R， z=ES，ESS，DS，DSS：所有版本。

l MELSEC-F FX3G-xMy/ES-A x=14,24,40,60， y=T，R：所有版本。

l MELSEC-F FX3GC-32MT/D， FX3GC-32MT/DSS：所有版本。

l MELSEC-F FX3GE-xMy/z x=24,40， y=T，R， z=ES，ESS，DS，DSS： ALL VERSION.

l MELSEC-F FX3GA-xMy-CM x=24,40,60， y=T，R：所有版本。

l MELSEC-F FX3S-xMy/z x=10,14,20,30， y=T，R， z=ES，ESS，DS，DSS：所有版本。

l MELSEC-F FX3S-30My/z-2AD y=T，R， z=ES，ESS：所有版本。

l MELSEC-F FX3SA-xMy-CM x=10,14,20,30， y=T，R：所有版本。

 

三、严重等级

六方云超弦实验室评级为：高危

 

 

四、处置方法

1、Mitsubishi Electric建议用户将受影响的设备更新到最新版本。

2、加强访问控制，使用六方云工业防火墙、工业网闸等产品进行隔离保护。

3、使用六方云工业卫士阻止不受信任的网络和主机访问并做好白名单防护。

4、使用六方云神探及时发现未知威胁。

 

五、参考链接

https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-012_en.pdf

六方云超弦实验室将持续跟踪安全情报变化，及时发布相关信息，若有需要，请联系400-6060-270

-END-