Американската агенция за киберсигурност и инфраструктурна сигурност (CISA) публикува осем препоръки за промишлени системи за управление (ICS), в които се предупреждава за критични недостатъци, засягащи продукти на Hitachi Energy, mySCADA Technologies, Industrial Control Links и Nexx.
Начело на списъка е CVE-2022-3682 (CVSS оценка: 9,9), засягащ MicroSCADA System Data Manager SDM600 на Hitachi Energy, който може да позволи на нападател да поеме дистанционен контрол над продукта.
Недостатъкът се дължи на проблем с валидирането на разрешенията за файлове, което позволява на противника да качи специално създадено съобщение в системата, което води до произволно изпълнение на код.
Hitachi Energy пусна SDM600 1.3.0.1339, за да намали проблема за версиите на SDM600 преди версия 1.2 FP3 HF4 (Build Nr. 1.2.23000.291).
Друг набор от пет критични уязвимости – CVE-2023-28400, CVE-2023-28716, CVE-2023-28384, CVE-2023-29169 и CVE-2023-29150 (CVSS оценки: 9,9) – са свързани с грешки при инжектиране на команди, налични във версии 8.26.0 и по-ранни на mySCADA myPRO.
„Успешното използване на тези уязвимости може да позволи на автентикиран потребител да инжектира произволни команди на операционната система“, предупреждава CISA, като призовава потребителите да актуализират до версия 8.29.0 или по-нова.
Разкрита е и критична грешка в сигурността на SCADA контролерите ScadaFlex II на Industrial Control Links (CVE-2022-25359, CVSS оценка: 9.1), която може да позволи на автентифициран нападател да презаписва, изтрива или създава файлове.
„Industrial Control Links съобщиха, че закриват дейността си“, заявиха от агенцията. „Този продукт може да се счита за излязъл от употреба; продължаваща поддръжка за този продукт може да не е налична.“
На потребителите се препоръчва да сведат до минимум излагането на мрежата, да изолират мрежите на системите за управление от бизнес мрежите и да ги поставят зад защитни стени, за да се справят с потенциалните рискове.
Списъкът се допълва от пет непоправени недостатъка, включително един критичен бъг (CVE-2023-1748, CVSS оценка: 9,3), който засяга контролерите за гаражни врати, интелигентните щепсели и интелигентните аларми, продавани от Nexx.
Според изследователя по сигурността Сам Сабетан, който е открил и съобщил за проблемите, уязвимостите, които биха могли да позволят на хакерите да отварят гаражни врати в дома, да превземат интелигентни щепсели и да получат дистанционно управление на интелигентни аларми.
Засегнати са следните версии на интелигентните домашни устройства на Nexx –
„Успешното използване на тези уязвимости може да позволи на атакуващия да получи чувствителна информация, да изпълни заявки за програмируем интерфейс (API) или да превземе устройствата“, казват от CISA.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.