一、漏洞概述
Mitsubishi Electric FA engineering software是日本三菱电机(Mitsubishi Electric)公司推出的一系列工业自动化应用设计集成化软件工具,主要用于可编程逻辑控制器(PLC)、人机界面(HMI)、伺服系统、变频器和其他工业设备的设计、配置、编程和调试。
Mitsubishi Electric FA engineering software 多版本存在安全漏洞,该漏洞源于缺少关键功能的身份验证,不安全的反射等,成功利用这些漏洞可以允许攻击者泄露、篡改、破坏或删除产品中的信息,或对产品造成拒绝服务 (DoS) 情况。
以下是漏洞详情:
二、受影响的产品
以下版本的三菱电机 FA 工程软件受到影响:
EZSocket:版本 3.0 及更高版本
FR Configurator2:所有版本
GT Designer3 Version1(GOT1000): 所有版本
GT Designer3 Version1(GOT2000): 所有版本
GX Works2:版本 1.11M 及更高版本
GX Works3:所有版本
MELSOFT Navigator:版本 1.04E 及更高版本
MT Works2:所有版本
MX 组件:版本 4.00A 及更高版本
MX OPC 服务器 DA/UA(与 MC Works64 一起打包的软件):所有版本
三、严重等级
六方云超弦实验室评级为:高危
四、处置方法
1、目前官方还没发布新版本,请用户及时关注官方动态
2、加强访问控制,使用六方云工业防火墙、工业网闸等产品进行隔离保护;
3、使用六方云工业卫士阻止不受信任的网络和主机访问并做好白名单防护;
4、使用六方云神探及时发现未知威胁。
五、参考链接
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-020_en.pdf
六方云超弦实验室将持续跟踪安全情报变化,及时发布相关信息,若有需要,请联系400-6060-270
