CRITICAL🇬🇧 English

CVE-2025-3755

Krytyczna podatność w modułach CPU MELSEC iQ-F — odczyt danych i DoS

CVSS 9.1v3.1pub. 2025-05-29upd. 2026-04-15

Podatność w modułach CPU serii MELSEC iQ-F firmy Mitsubishi Electric umożliwia nieuwierzytelnionemu atakującemu zdalnie odczytanie informacji z urządzenia oraz wywołanie stanu Denial-of-Service (DoS). W najgorszym scenariuszu możliwe jest całkowite zatrzymanie pracy modułu CPU, wymagające fizycznego resetu urządzenia do przywrócenia działania.

Pokaż oryginał (EN)

Improper Validation of Specified Index, Position, or Offset in Input vulnerability in Mitsubishi Electric Corporation MELSEC iQ-F Series CPU modules allows a remote unauthenticated attacker to read information in the product, to cause a Denial-of-Service (DoS) condition in MELSOFT connection, or to stop the operation of the CPU module (causing a DoS condtion on the CPU module), by sending specially crafted packets. The product is needed to reset for recovery.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej walidacji indeksu, pozycji lub przesunięcia (offset) w danych wejściowych (CWE-1285). Atakujący wysyła specjalnie spreparowane pakiety sieciowe do modułu CPU bez konieczności wcześniejszego uwierzytelnienia. W zależności od treści pakietu możliwe jest nieautoryzowane odczytanie informacji z produktu, zakłócenie lub zerwanie połączenia MELSOFT albo całkowite zatrzymanie operacji modułu CPU. Przywrócenie normalnej pracy po zatrzymaniu modułu wymaga jego restartu.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do informacji przechowywanych w urządzeniu oraz doprowadzić do przerwy w działaniu systemu sterowania (DoS na połączeniu MELSOFT lub zatrzymanie całego modułu CPU). Skutki mogą obejmować zakłócenie procesów przemysłowych obsługiwanych przez podatne sterowniki.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2025-003_en.pdf oraz https://www.cisa.gov/news-events/ics-advisories/icsa-25-153-03). Do czasu wdrożenia poprawek zaleca się ograniczenie dostępu sieciowego do modułów CPU za pomocą firewall oraz segmentacji sieci przemysłowej, tak aby nieautoryzowane hosty nie miały możliwości wysyłania pakietów do podatnych urządzeń.

Kogo dotyczy

Moduły CPU serii MELSEC iQ-F firmy Mitsubishi Electric Corporation — szczegółowe wersje wskazane w referencjach producenta (Mitsubishi Electric PSIRT oraz poradnik CISA ICSA-25-153-03).

Uwagi

Podatność dotyczy systemów przemysłowych (OT/ICS). W przypadku udanego ataku zatrzymującego moduł CPU przywrócenie działania wymaga fizycznego resetu urządzenia, co może wiązać się z poważnymi konsekwencjami dla ciągłości procesów produkcyjnych. Podatność została opisana w poradniku CISA ICS-CERT (ICSA-25-153-03) oraz japońskim serwisie JVN (JVNVU94070048).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje
CVE-2025-3755 — Krytyczna podatność w modułach CPU MELSEC iQ-F — odczyt danych i DoS — CRITICAL 9.1 | CVEbaza.pl