Kritische Schwachstelle in Klima-Systemen von Mitsubishi Electric

Nachdem sich Angreifende Zugang verschafft haben, können sie die Systeme steuern. Außerdem können sie Daten auslesen, um damit die Firmware zu manipulieren.

Mitsubishi Electric plant nach eigenen Angaben, keine Sicherheits-Updates bereitzustellen. Jedoch würden derzeit verbesserte Versionen einiger Produkte vorbereitet (siehe unten verlinkten Sicherheitshinweis). Diese Versionen würden die Schwachstelle beseitigen.

Die Ursache für das Fehlverhalten ist eine fehlende Authentifizierung bei kritischen Funktionen. Eine Liste der betroffenen Produkte finden Sie im Sicherheitshinweis des Herstellers. Die Schwachstelle besitzt die Kennung CVE-2025-3699 und hat einen CVSS-Base-Score von 9.8/10.

Da nach Aussage des Herstellers keine Sicherheits-Updates zu erwarten sind, beachten Sie die folgenden Sicherheitsmaßnahmen:

• Konfigurieren Sie die Systeme entsprechend den Empfehlungen des Herstellers. Insbesondere sollte der Zugriff auf die Systeme nur über ein VPN möglich sein.
• Schränken Sie den Netzwerkzugriff durch nicht vertrauenswürdige Netzwerke und Rechner ein.
• Begrenzen Sie den physischen Zugang zu Systemen und zur angeschlossenen Infrastruktur.
• Halten Sie die Anti-Viren-Programme und die Web-Browser auf den Rechnern, mit denen Sie die Systeme verwalten, auf dem aktuellen Stand. Gleiches gilt für das Betriebssystem.