Especialistas en ciberseguridad reportan la detección de al menos dos fallas críticas en los sistemas de aire acondicionado de la compañía tecnológica Mitsubishi Electric. Acorde al reporte, la explotación exitosa de las fallas permitiría a los atacantes exponer información confidencial o desplegar ciberataques contra las implementaciones afectadas.

A continuación se presenta un breve reporte de las fallas detectadas, además de sus respectivas claves de identificación y puntajes asignados por el Common Vulnerability Scoring System (CVSS).

CVE-2021-20593: Esta falla reside en las funciones web de los sistemas de aire acondicionado Mitsubishi y fue descrita como una condición de escalada de privilegios causada por una implementación errónea del algoritmo de autenticación.

La falla recibió un puntaje CVSS de 7.1/10 y su explotación permitiría a los actores de amenazas hacerse pasar por usuarios administrativos con y realizar configuraciones arbitrarias en el dispositivo afectado.

Esta vulnerabilidad reside en las siguientes v de sistemas de aire acondicionado Mitsubishi:

  • G-50A: desde v2.50 a v3.35
  • GB-50A: desde v2.50 a v3.35
  • AG-150A-A: v3.20 y anteriores
  • AG-150A-J: v3.20 y anteriores
  • GB-50ADA-A: v3.20 y anteriores
  • GB-50ADA-J: v3.20 y anteriores
  • EB-50GU-A: v7.09 y anteriores
  • EB-50GU-J: v7.09 y anteriores
  • AE-200A: v7.93 y anteriores
  • AE-200E: v7.93 y anteriores
  • AE-50A: v7.93 y anteriores
  • AE-50E: v7.93 y anteriores
  • EW-50A: v7.93 y anteriores
  • EW-50E: v7.93 y anteriores
  • TE-200A: v7.93 y anteriores
  • TE-50A: v7.93 y anteriores
  • TW-50A: v7.93 y anteriores
  • CMS-RMD-J: v1.30 y anteriores

CVE-2021-20595: Por otra parte, esta falla existe debido a que los productos afectados no restringen adecuadamente las referencias a entidades externas XML, lo que permitiría el despliegue de ataques de denegación de servicio (DoS).

Esta vulnerabilidad recibió un puntaje CVSS de 9.1/10, por lo que se le considera un error crítico. Las fallas residen en los siguientes productos y versiones:

  • G-50A: v3.35 y anteriores
  • GB-50A: v3.35 y anteriores
  • GB-24A: v9.11 y anteriores
  • AG-150A-A: v3.20 y anteriores
  • AG-150A-J: v3.20 y anteriores
  • GB-50ADA-A: v3.20 y anteriores
  • GB-50ADA-J: v3.20 y anteriores
  • EB-50GU-A: v7.09 y anteriores
  • EB-50GU-J: v7.09 y anteriores
  • AE-200A: v7.93 y anteriores
  • AE-200E: v7.93 y anteriores
  • AE-50A: v7.93 y anteriores
  • AE-50E: v7.93 y anteriores
  • EW-50A: v7.93 y anteriores
  • EW-50E: v7.93 y anteriores
  • TE-200A: v7.93 y anteriores
  • TE-50A: v7.93 y anteriores
  • TW-50A: v7.93 y anteriores
  • CMS-RMD-J: v1.30 y anteriores

Estas dos fallas fueron reportadas ante la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) a través de The Zero Day Initiative (ZDI).

Mitsubishi ya emitió las actualizaciones correspondientes a cada implementación afectada, por lo que se recomienda a los usuarios actualizar a la brevedad para prevenir cualquier riesgo de explotación.

En caso de no poder actualizar, CISA emitió algunas recomendaciones para mitigar el riesgo:

  • No hacer clic en enlaces web ni abrir archivos adjuntos no solicitados vía email
  • Evitar las estafas por correo electrónico o campañas de ingeniería social y ataques de phishing

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).