BDU:2021-06168
Vulnerability from fstec - Published: 30.11.2021
VLAI Severity ?
Title
Уязвимость программируемых логических контроллеров MELSEC iQ-R, MELSEC Q и MELSEC L, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Description
Уязвимость программируемых логических контроллеров MELSEC iQ-R, MELSEC Q и MELSEC L связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи специально сформированного пакета
Severity ?
Vendor
Mitsubishi Electric Corporation
Software Name
MELSEC iQ R16MTCPU, MELSEC iQ R32MTCPU, MELSEC iQ R64MTCPU, MELSEC iQ R00 CPU, MELSEC iQ R01 CPU, MELSEC iQ R02 CPU, MELSEC iQ R04 (EN) CPU, MELSEC iQ R08 (EN) CPU, MELSEC iQ R16 (EN) CPU, MELSEC iQ R32 (EN) CPU, MELSEC iQ R08 SFCPU, MELSEC iQ R16 SFCPU, MELSEC iQ R120 SFCPU, MELSEC iQ R08 PCPU, MELSEC iQ R16 PCPU, MELSEC iQ R120 PCPU, IQ R12CCPU-V, MELSEC iQ R08 PSFCPU, MELSEC iQ R16 PSFCPU, MELSEC iQ R32 PSFCPU, MELSEC iQ R120 PSFCPU, MELIPC MI5122-VW, MELSEC Q03 UDVCPU, MELSEC Q03UDECPU, MELSEC Q04 UDEHCPU, MELSEC Q04 UDPVCPU, MELSEC Q04 UDVCPU, MELSEC Q06 UDEHCPU, MELSEC Q06 UDPVCPU, MELSEC Q06 UDVCPU, MELSEC Q10 UDEHCPU, MELSEC Q100UDEHCPU, MELSEC Q12DCCPU-V, MELSEC Q13 UDEHCPU, MELSEC Q13 UDPVCPU, MELSEC Q20 UDEHCPU, MELSEC Q24 DHCCPU-LS, MELSEC Q24DHCCPU-V(G), MELSEC Q26 DHCCPU-LS, MELSEC Q26 UDEHCPU, MELSEC Q50 UDEHCPU, MELSEC Q26 UDVCPU, MELSEC Q26 UDPVCPU
Software Version
- (MELSEC iQ R16MTCPU), - (MELSEC iQ R32MTCPU), - (MELSEC iQ R64MTCPU), до 24 включительно (MELSEC iQ R00 CPU), до 24 включительно (MELSEC iQ R01 CPU), до 24 включительно (MELSEC iQ R02 CPU), до 57 включительно (MELSEC iQ R04 (EN) CPU), до 57 включительно (MELSEC iQ R08 (EN) CPU), до 57 включительно (MELSEC iQ R16 (EN) CPU), до 57 включительно (MELSEC iQ R32 (EN) CPU), - (MELSEC iQ R08 SFCPU), - (MELSEC iQ R16 SFCPU), - (MELSEC iQ R120 SFCPU), до 29 включительно (MELSEC iQ R08 PCPU), до 29 включительно (MELSEC iQ R16 PCPU), до 29 включительно (MELSEC iQ R120 PCPU), - (IQ R12CCPU-V), - (MELSEC iQ R08 PSFCPU), - (MELSEC iQ R16 PSFCPU), - (MELSEC iQ R32 PSFCPU), - (MELSEC iQ R120 PSFCPU), - (MELIPC MI5122-VW), - (MELSEC Q03 UDVCPU), - (MELSEC Q03UDECPU), - (MELSEC Q04 UDEHCPU), - (MELSEC Q04 UDPVCPU), - (MELSEC Q04 UDVCPU), - (MELSEC Q06 UDEHCPU), - (MELSEC Q06 UDPVCPU), - (MELSEC Q06 UDVCPU), - (MELSEC Q10 UDEHCPU), - (MELSEC Q100UDEHCPU), - (MELSEC Q12DCCPU-V), - (MELSEC Q13 UDEHCPU), - (MELSEC Q13 UDPVCPU), - (MELSEC Q20 UDEHCPU), - (MELSEC Q24 DHCCPU-LS), - (MELSEC Q24DHCCPU-V(G)), - (MELSEC Q26 DHCCPU-LS), - (MELSEC Q26 UDEHCPU), - (MELSEC Q50 UDEHCPU), - (MELSEC Q26 UDVCPU), - (MELSEC Q26 UDPVCPU)
Possible Mitigations
Использование рекомендаций:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-019_en.pdf
Reference
https://us-cert.cisa.gov/ics/advisories/icsa-21-334-02
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-019_en.pdf
CWE
CWE-400
{
"CVSS 2.0": "AV:N/AC:L/Au:N/C:N/I:N/A:C",
"CVSS 3.0": "AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
"CVSS 4.0": null,
"remediation_\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440": null,
"remediation_\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435": null,
"\u0412\u0435\u043d\u0434\u043e\u0440 \u041f\u041e": "Mitsubishi Electric Corporation",
"\u0412\u0435\u0440\u0441\u0438\u044f \u041f\u041e": "- (MELSEC iQ R16MTCPU), - (MELSEC iQ R32MTCPU), - (MELSEC iQ R64MTCPU), \u0434\u043e 24 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (MELSEC iQ R00 CPU), \u0434\u043e 24 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (MELSEC iQ R01 CPU), \u0434\u043e 24 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (MELSEC iQ R02 CPU), \u0434\u043e 57 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (MELSEC iQ R04 (EN) CPU), \u0434\u043e 57 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (MELSEC iQ R08 (EN) CPU), \u0434\u043e 57 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (MELSEC iQ R16 (EN) CPU), \u0434\u043e 57 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (MELSEC iQ R32 (EN) CPU), - (MELSEC iQ R08 SFCPU), - (MELSEC iQ R16 SFCPU), - (MELSEC iQ R120 SFCPU), \u0434\u043e 29 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (MELSEC iQ R08 PCPU), \u0434\u043e 29 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (MELSEC iQ R16 PCPU), \u0434\u043e 29 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (MELSEC iQ R120 PCPU), - (IQ R12CCPU-V), - (MELSEC iQ R08 PSFCPU), - (MELSEC iQ R16 PSFCPU), - (MELSEC iQ R32 PSFCPU), - (MELSEC iQ R120 PSFCPU), - (MELIPC MI5122-VW), - (MELSEC Q03 UDVCPU), - (MELSEC Q03UDECPU), - (MELSEC Q04 UDEHCPU), - (MELSEC Q04 UDPVCPU), - (MELSEC Q04 UDVCPU), - (MELSEC Q06 UDEHCPU), - (MELSEC Q06 UDPVCPU), - (MELSEC Q06 UDVCPU), - (MELSEC Q10 UDEHCPU), - (MELSEC Q100UDEHCPU), - (MELSEC Q12DCCPU-V), - (MELSEC Q13 UDEHCPU), - (MELSEC Q13 UDPVCPU), - (MELSEC Q20 UDEHCPU), - (MELSEC Q24 DHCCPU-LS), - (MELSEC Q24DHCCPU-V(G)), - (MELSEC Q26 DHCCPU-LS), - (MELSEC Q26 UDEHCPU), - (MELSEC Q50 UDEHCPU), - (MELSEC Q26 UDVCPU), - (MELSEC Q26 UDPVCPU)",
"\u0412\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0435 \u043c\u0435\u0440\u044b \u043f\u043e \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044e": "\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u0439:\nhttps://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-019_en.pdf",
"\u0414\u0430\u0442\u0430 \u0432\u044b\u044f\u0432\u043b\u0435\u043d\u0438\u044f": "30.11.2021",
"\u0414\u0430\u0442\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0433\u043e \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f": "17.12.2021",
"\u0414\u0430\u0442\u0430 \u043f\u0443\u0431\u043b\u0438\u043a\u0430\u0446\u0438\u0438": "17.12.2021",
"\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440": "BDU:2021-06168",
"\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440\u044b \u0434\u0440\u0443\u0433\u0438\u0445 \u0441\u0438\u0441\u0442\u0435\u043c \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0439 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "CVE-2021-20609",
"\u0418\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e\u0431 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0430",
"\u041a\u043b\u0430\u0441\u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043a\u043e\u0434\u0430",
"\u041d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 \u041f\u041e": "MELSEC iQ R16MTCPU, MELSEC iQ R32MTCPU, MELSEC iQ R64MTCPU, MELSEC iQ R00 CPU, MELSEC iQ R01 CPU, MELSEC iQ R02 CPU, MELSEC iQ R04 (EN) CPU, MELSEC iQ R08 (EN) CPU, MELSEC iQ R16 (EN) CPU, MELSEC iQ R32 (EN) CPU, MELSEC iQ R08 SFCPU, MELSEC iQ R16 SFCPU, MELSEC iQ R120 SFCPU, MELSEC iQ R08 PCPU, MELSEC iQ R16 PCPU, MELSEC iQ R120 PCPU, IQ R12CCPU-V, MELSEC iQ R08 PSFCPU, MELSEC iQ R16 PSFCPU, MELSEC iQ R32 PSFCPU, MELSEC iQ R120 PSFCPU, MELIPC MI5122-VW, MELSEC Q03 UDVCPU, MELSEC Q03UDECPU, MELSEC Q04 UDEHCPU, MELSEC Q04 UDPVCPU, MELSEC Q04 UDVCPU, MELSEC Q06 UDEHCPU, MELSEC Q06 UDPVCPU, MELSEC Q06 UDVCPU, MELSEC Q10 UDEHCPU, MELSEC Q100UDEHCPU, MELSEC Q12DCCPU-V, MELSEC Q13 UDEHCPU, MELSEC Q13 UDPVCPU, MELSEC Q20 UDEHCPU, MELSEC Q24 DHCCPU-LS, MELSEC Q24DHCCPU-V(G), MELSEC Q26 DHCCPU-LS, MELSEC Q26 UDEHCPU, MELSEC Q50 UDEHCPU, MELSEC Q26 UDVCPU, MELSEC Q26 UDPVCPU",
"\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u041e\u0421 \u0438 \u0442\u0438\u043f \u0430\u043f\u043f\u0430\u0440\u0430\u0442\u043d\u043e\u0439 \u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c\u044b": null,
"\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0438\u0440\u0443\u0435\u043c\u044b\u0445 \u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u043e\u0432 MELSEC iQ-R, MELSEC Q \u0438 MELSEC L, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u0430\u044f \u0441 \u043d\u0435\u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u0443\u0435\u043c\u044b\u043c \u0440\u0430\u0441\u0445\u043e\u0434\u043e\u043c \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0430\u044f \u043d\u0430\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044e \u0432\u044b\u0437\u0432\u0430\u0442\u044c \u043e\u0442\u043a\u0430\u0437 \u0432 \u043e\u0431\u0441\u043b\u0443\u0436\u0438\u0432\u0430\u043d\u0438\u0438",
"\u041d\u0430\u043b\u0438\u0447\u0438\u0435 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430": "\u0414\u0430\u043d\u043d\u044b\u0435 \u0443\u0442\u043e\u0447\u043d\u044f\u044e\u0442\u0441\u044f",
"\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u043e\u0448\u0438\u0431\u043a\u0438 CWE": "\u041d\u0435\u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u0443\u0435\u043c\u044b\u0439 \u0440\u0430\u0441\u0445\u043e\u0434 \u0440\u0435\u0441\u0443\u0440\u0441\u0430 (\u00ab\u0418\u0441\u0442\u043e\u0449\u0435\u043d\u0438\u0435 \u0440\u0435\u0441\u0443\u0440\u0441\u0430\u00bb) (CWE-400)",
"\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0438\u0440\u0443\u0435\u043c\u044b\u0445 \u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u043e\u0432 MELSEC iQ-R, MELSEC Q \u0438 MELSEC L \u0441\u0432\u044f\u0437\u0430\u043d\u0430 \u0441 \u043d\u0435\u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u0443\u0435\u043c\u044b\u043c \u0440\u0430\u0441\u0445\u043e\u0434\u043e\u043c \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432. \u042d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u0442\u044c \u043d\u0430\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044e, \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u043c\u0443 \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u043e, \u0432\u044b\u0437\u0432\u0430\u0442\u044c \u043e\u0442\u043a\u0430\u0437 \u0432 \u043e\u0431\u0441\u043b\u0443\u0436\u0438\u0432\u0430\u043d\u0438\u0438 \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u0441\u0444\u043e\u0440\u043c\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u043f\u0430\u043a\u0435\u0442\u0430",
"\u041f\u043e\u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u044f \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": null,
"\u041f\u0440\u043e\u0447\u0430\u044f \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f": null,
"\u0421\u0432\u044f\u0437\u044c \u0441 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430\u043c\u0438 \u0418\u0411": "\u0414\u0430\u043d\u043d\u044b\u0435 \u0443\u0442\u043e\u0447\u043d\u044f\u044e\u0442\u0441\u044f",
"\u0421\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u041e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043d\u0430",
"\u0421\u043f\u043e\u0441\u043e\u0431 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f": "\u041e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0433\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f",
"\u0421\u043f\u043e\u0441\u043e\u0431 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438": "\u0418\u0441\u0447\u0435\u0440\u043f\u0430\u043d\u0438\u0435 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432",
"\u0421\u0441\u044b\u043b\u043a\u0438 \u043d\u0430 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0438": "https://us-cert.cisa.gov/ics/advisories/icsa-21-334-02\nhttps://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-019_en.pdf",
"\u0421\u0442\u0430\u0442\u0443\u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u041f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0430 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u0435\u043c",
"\u0422\u0438\u043f \u041f\u041e": "\u0421\u0440\u0435\u0434\u0441\u0442\u0432\u043e \u0410\u0421\u0423 \u0422\u041f, \u0421\u0440\u0435\u0434\u0441\u0442\u0432\u043e \u0437\u0430\u0449\u0438\u0442\u044b, \u041c\u0438\u043a\u0440\u043e\u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u044b\u0439 \u043a\u043e\u0434",
"\u0422\u0438\u043f \u043e\u0448\u0438\u0431\u043a\u0438 CWE": "CWE-400",
"\u0423\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0412\u044b\u0441\u043e\u043a\u0438\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (\u0431\u0430\u0437\u043e\u0432\u0430\u044f \u043e\u0446\u0435\u043d\u043a\u0430 CVSS 2.0 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 7,8)\n\u0412\u044b\u0441\u043e\u043a\u0438\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (\u0431\u0430\u0437\u043e\u0432\u0430\u044f \u043e\u0446\u0435\u043d\u043a\u0430 CVSS 3.0 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 7,5)"
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…