Corpus Solutions

23. 09. 2019

Inženýrský software Mitsubishi Electric FR Configurator2 obsahuje několik zranitelností, které lze využít k odhalení informací, spuštění libovolného kódu, eskalaci oprávnění a útokům typu DoS (Denial-of-Service). Doporučení popisující zranitelnosti byla zveřejněna poslední srpnový týden několika agenturami včetně Applied Risk, průmyslovou kybernetickou společností, která objevila zranitelnosti, americkou agenturou pro kybernetickou bezpečnost a infrastrukturu (CISA) a Mitsubishi Electric.

FR Configurator2 je nástroj, který umožňuje uživatelům, programovat, konfigurovat a sledovat měniče s proměnnou frekvencí (Variable frequency driver). Podle CISA je produkt používán po celém světě, zejména v kritickém výrobním sektoru.

Zranitelnost, která je klasifikována jako „vysoce závažná“ a označená jako problém související se zpracováním externí entity XML (XXE), může útočník využít k načtení a odcizení libovolných souborů z cílového systému. Nicméně zahrnuje to získání důvěry oběti k otevření speciálně vytvořeného souboru projektu (.frc2). V závislosti na cílené platformě by zranitelnost mohla útočníkovi za určitých okolností umožnit spuštění libovolného kódu.

Další chyby a reakci od prodejce se dočtete v článku na webových stránkách Security Week pod tímto odkazem.

Corpus Solutions v tomto případě doporučuje okamžitý update softwaru, který výrobce vydal.

Tip: všechny aktuality od Corpus Solutions můžete odebírat jako RSS kanál