关键漏洞信息 执行摘要 CVSS v3: 6.8 注意事项: 可远程利用 供应商: 三菱电机 设备: MELSEC iQ-R 系列 C 控制器模块 R12CCPU-V 漏洞: 未受控制的资源消耗 更新信息 此更新通告是对2021年10月7日发布的原始通告(ICSA-21-280-04)的跟进。 风险评估 成功利用此漏洞可能导致模块无法启动,需要系统重置才能恢复。 技术细节 4.1 受影响产品 MELSEC iQ-R 系列 C 控制器模块受影响的模块:R12CCPU-V 固件版本 16 及更早版本。 4.2 漏洞概述 未受控制的资源消耗 CWE-400 MELSEC iQ-R 系列 C 控制器模块存在由于启动时短时间发送大量数据包导致未受控制的资源消耗,从而造成拒绝服务状态的风险。 CVE-2021-20600: 此漏洞的CVSS v3基准评分为6.8。 4.3 背景 关键基础设施部门: 关键制造 部署国家/地区: 全球 公司总部位置: 日本 4.4 研究人员 三菱电机公司向CISA报告了此漏洞。 缓解措施 将受影响设备更新至固件版本17或更高版本。 如果系统WDT错误在启动时发生,断开模块的LAN电缆并重新启动。 确认模块已正常启动后,重新建立LAN连接。 使用防火墙、VPN等防止未经授权的访问,当需要互联网访问时。 在局域网中使用并阻止来自不信任网络和主机的访问。 最小化所有控制系统设备和系统的网络暴露,确保它们不能从互联网访问。 将控制系统网络和远程设备放置在防火墙后面,并将其与业务网络隔离。 在需要远程访问时,使用安全方法,如虚拟专用网络(VPN),并确保其已更新。 CISA提供的控制系统的安全推荐做法和策略以减少风险。 供应商 三菱电机