Een kwetsbaarheid in de MELSEC iQ-F Series van Mitsubishi Electric kan leiden tot een Denial-of-Service (DoS) aanval. Deze kwetsbaarheid, aangeduid als CVE-2025-5241, maakt het mogelijk voor een niet-geauthenticeerde aanvaller om geldige gebruikers tijdelijk uit te sluiten van hun accounts.
Door herhaaldelijk foutieve wachtwoorden in te voeren, kunnen aanvallers ervoor zorgen dat legitieme gebruikers geen toegang hebben tot het systeem, zelfs zonder dat er een directe aanval op inhoud plaatsvindt. Dit probleem blijft bestaan totdat het product opnieuw is ingesteld of na een bepaalde tijd verstreken is.
Overzicht
De kwetsbaarheid is te vinden in alle versies van de volgende producten:
- MELSEC iQ-F Series FX5U-32MT/ES
- MELSEC iQ-F Series FX5U-32MT/DS
- MELSEC iQ-F Series FX5UC-32MT/D
- … en vele anderen
Impact
- Denial-of-Service (DoS), waarbij netwerktoegang wordt gebruikt om het systeem ontoegankelijk te maken voor legitieme gebruikers.
Metrics
Deze kwetsbaarheid is beoordeeld met een base score van 5.3 volgens CVSS 3.1, wat neerkomt op een medium severity. De aanvallers hebben geen privileges nodig om deze aanval uit te voeren.
Aanbevelingen
- Overweeg om een resetbeleid in te stellen of te implementeren dat de lock-out periode verkort.
- Houd updates van Mitsubishi in de gaten voor mogelijke patches en beveiligingsoplossingen.
Bronnen
Vraag en Antwoord
Welke systemen zijn kwetsbaar voor CVE-2025-5241?
Alle modellen van de MELSEC iQ-F Series zoals beschreven.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van schrijven is er nog geen officiële patch beschikbaar; gebruikers worden geadviseerd om updates te monitoren van Mitsubishi.
