日本Mitsubishi Electric近日针对该公司的GOT2000系列发布了一则安全公告,提醒用户注意该产品中的多个安全漏洞。
GOT2000系列是Mitsubishi Electric的图形操作终端,该产品系列包括GT27、GT25和GT23。
此次披露的漏洞影响GT27型号、GT25型号和GT23型号上安装的GOT2000 CoreOS Version-Y及之前版本。其中最严重的是两个超危漏洞CVE-2020-5595和CVE-2020-5598。这两个漏洞的CVSS v3基础评分均为9.8。
CVE-2020-5595和CVE-2020-5598都是访问控制错误漏洞,这两个漏洞存在于GOT2000系列固件的TCP/IP函数中,远程攻击者可借助特制的数据包利用漏洞绕过访问限制并停止产品的网络功能,或执行恶意程序。
根据Mitsubishi Electric发布的安全公告,GOT2000系列中还有三个高危漏洞得到修复。
第一个高危漏洞编号为CVE-2020-5596,该漏洞源于GOT2000系列固件的TCP/IP函数未能正确管理会话,远程攻击者可借助特制的数据包利用该漏洞停止产品的网络功能或执行恶意程序。
CVE-2020-5597是第二个高危漏洞,该漏洞是个存在于GOT2000系列固件的TCP/IP函数中的空指针逆向引用漏洞,远程攻击者可利用该漏洞停止产品的网络功能或执行恶意程序。
最后一个高危漏洞为CVE-2020-5599,远程攻击者可利用该漏洞造成拒绝服务。
Mitsubishi Electric此次还修复了一个中危资源管理错误漏洞(CVE-2020-5600)。如成功利用,攻击者可获取敏感信息。
参考来源
https://us-cert.cisa.gov/ics/advisories/icsa-20-189-02
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-005.pdf
https://nvd.nist.gov/vuln/detail/CVE-2020-5598
https://nvd.nist.gov/vuln/detail/CVE-2020-5596
https://nvd.nist.gov/vuln/detail/CVE-2020-5595
https://nvd.nist.gov/vuln/detail/CVE-2020-5597