美国网络安全和基础设施安全局（CISA）于6月23日发布安全公告，披露Mitsubishi Electric MELSEC中存在一个安全漏洞。MELSEC是日本Mitsubishi Electric公司生产的可编程控制器，MELSEC包括iQ-R、iQ-F、Q等多个系列，在世界范围内主要用于关键制造行业。

Mitsubishi Electric MELSEC中存在的漏洞是个信息泄露漏洞，该漏洞编号为CVE-2020-14476，CVSS v3评分为10.0。

根据美国CISA发布的公告内容，该漏洞源于Mitsubishi Electric MELSEC iQ-R，iQ-F，Q，L和FX系列CPU模块，和GX Works3/GX Works2之间以明文形式传输敏感信息。该漏洞可带来一系列潜在风险，成功利用该漏洞，攻击者可泄露信息、篡改信息、未授权执行操作或造成拒绝服务。

据悉，该漏洞是由浙江大学NESC课题组发现并报告给Mitsubishi Electric公司的。攻击者可远程利用该漏洞，且对该漏洞的利用无需高深的技术。

Mitsubishi Electric建议用户通过设置VPN对通信路径加密，来缓解该漏洞造成的影响。美国CISA也建议用户采取防御性措施，将该漏洞被利用的风险降到最低。具体如下：

Ø  对于所有控制系统设备和系统，最小化其网络暴露，并确保从互联网上无法访问这些设备和系统；

Ø  确定部署在防火墙后面的控制系统网络和远程设备的位置，并将它们与业务网络隔离；

Ø  当需要远程访问时，使用VPN等安全方法，同时意识到VPN可能也有漏洞，应保持更新最新的可用版本，还要明白只有被连接的设备是安全的，VPN也才安全。