Az amerikai Cybersecurity and Infrastructure Security Agency (CISA) négy ipari vezérlőrendszerekre (ICS) vonatkozó tanácsot tett közzé, amelyekben több, a Siemens, a GE Digital és a Contec termékeit érintő biztonsági hibára hívta fel a figyelmet - írja a The Hacker News.
A legkritikusabb problémákat a Siemens SINEC INS rendszerében azonosították, amelyek távoli kódfuttatáshoz vezethetnek egy path traversal (CVE-2022-45092, CVSS score: 9.9) és egy command injection (CVE-2022-2068, CVSS score: 9.8) hibán keresztül. Szintén a Siemens javította az llhttp parser hitelesítési megkerülési sebezhetőségét (CVE-2022-35256, CVSS pontszám: 9.8), valamint az OpenSSL könyvtárban egy out-of-bounds write hibát (CVE-2022-2274, CVSS pontszám: 9.8), amely kihasználható távoli kódfuttatásra. A német automatizálási vállalat 2022 decemberében már kiadta a Service Pack 2 Update 1 szoftvert a hibák kiküszöbölásére.
Ettől függetlenül a GE Digital Proficy Historian megoldásában is felfedeztek egy kritikus hibát, amely a hitelesítési állapottól függetlenül kódfuttatást eredményezhet. A CVE-2022-46732 (CVSS score: 9,8) néven nyomon követett hiba a Proficy Historian 7.0 és újabb verzióit érinti, és a Proficy Historian 2023-as verziójában már javították.
"Egy támadó kihasználhatja ezt a tényt, és egy helyi szolgáltatásnak kiadva magát megkerülheti a Historian hitelesítést. Ez lehetővé teszi a távoli támadók számára, hogy bejelentkezzenek bármelyik GE Proficy Historian szerverre, és jogosulatlan műveletek végrehajtására kényszerítsék azt" - - mondta Uri Katz, a Claroty ipari biztonsági cég biztonsági kutatója.
A CISA frissítette a múlt hónapban közzétett ICS-tanácsait is, amely részletesen ismerteti a Contec CONPROSYS HMI rendszerben található kritikus sebezhetőséget (CVE-2022-44456, CVSS score: 10.0), amely lehetővé teheti egy távoli támadó számára, hogy speciálisan kialakított kéréseket küldjön tetszőleges parancsok futtatására. Bár ezt a hiányosságot a Contec a 3.4.5-ös verzióban javította, a szoftver azóta négy további hiba miatt is sebezhetőnek bizonyult, amelyek információk felfedéséhez és jogosulatlan hozzáféréshez vezethetnek.
A CONPROSYS HMI System felhasználóinak ajánlott a 3.5.0 vagy újabb verzióra frissíteniük, emellett lépéseket kell tenniük a hálózati kitettség minimalizálására és az ilyen eszközök üzleti hálózatoktól való elszigetelésére.
A figyelmeztetések kevesebb mint egy héttel azután érkeztek, hogy a CISA 12 hasonló figyelmeztetést adott ki, amelyek a Sewio, az InHand Networks, a Sauter Controls és a Siemens szoftvereit érintő kritikus hibákra figyelmeztettek.
SecWorld 2023 - Bizalom helyett biztonság
Kíváncsi, hogy mi vár 2023-ban az IT-Biztonságra? Miért nem elég biztonsági szoftvereket telepíteni a biztonságos informatikai környezet kialakításához?
Jöjjön el a Computerworld szervezésében megvalósuló SecWorld 2023 konferenciánkra és tudja meg, hogyan védheti szervezetét a legújabb kiberbiztonsági fenyegetésekkel szemben!
Részletek és regisztráció az ingyenes rendezvényre >>>
