PT-2021-8028 · Mitsubishi · Melsec Iq-R Series Cpu Modules
Publicado
2021-08-05
·
Atualizado
2021-08-27
·
CVE-2021-20598
CVSS v2.0
5.0
Média
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:P |
Nome do software vulnerável e versões afetadas
Módulos de CPU da série MELSEC iQ-R da Mitsubishi Electric, versões R08/16/32/120SFCPU (todas as versões)
Módulos de CPU da série MELSEC iQ-R da Mitsubishi Electric, versões R08/16/32/120PSFCPU (todas as versões)
Descrição
O problema está relacionado a um mecanismo de bloqueio de conta excessivamente restritivo nos módulos de CPU da série MELSEC iQ-R da Mitsubishi Electric. Isso permite que um invasor remoto não autenticado bloqueie um usuário legítimo ao tentar continuamente fazer login com uma senha incorreta. A exploração dessa vulnerabilidade pode permitir que um invasor remoto bloqueie a conta de um usuário inserindo sequencialmente um nome de usuário conhecido e uma senha incorreta.
Recomendações
Para os módulos de CPU da série MELSEC iQ-R da Mitsubishi Electric, versões R08/16/32/120SFCPU (todas as versões), considere implementar uma solução alternativa temporária para limitar o número de tentativas de login incorretas.
Para os módulos de CPU da série MELSEC iQ-R da Mitsubishi Electric, versões R08/16/32/120PSFCPU (todas as versões), restrinja o acesso à funcionalidade de login até que uma correção esteja disponível.
Como medida de mitigação temporária, considere desativar o recurso de login para os módulos de CPU afetados até que um patch seja lançado.
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Melsec Iq-R Series Cpu Modules