Бяха разкрити три уязвимости в сигурността на продукти за операционни технологии (OT) на Wago и Schneider Electric.

Според Forescout пропуските са част от по-широк набор от недостатъци, наречен OT:ICEFALL, който вече включва общо 61 проблема, обхващащи 13 различни доставчици.

„OT:ICEFALL показва необходимостта от по-строг контрол и подобрения на процесите, свързани със сигурното проектиране, пакетиране и тестване при доставчиците на OT устройства“, се казва в доклад на компанията, предоставен на The Hacker News.

Най-сериозният от недостатъците е CVE-2022-46680 (CVSS оценка: 8,8), който се отнася до предаването на пълномощни в обикновен текст в протокола ION/TCP, използван от електромерите на Schneider Electric.

Успешното използване на грешката може да позволи на заплахите да получат контрол над уязвимите устройства. Струва си да се отбележи, че CVE-2022-46680 е един от 56-те недостатъка, първоначално разкрити от Forescout през юни 2022 г.

Другите две нови дупки в сигурността (CVE-2023-1619 и CVE-2023-1620, CVSS оценки: 4,9) са свързани с грешки, свързани с отказ на услуга (DoS), засягащи контролери WAGO 750, които могат да бъдат активирани от автентифициран нападател чрез изпращане на специфични некоректни пакети или специфични заявки след излизане от системата.

В заключение на изследването OT:ICEFALL Forescout отбелязва, че доставчиците все още нямат фундаментално разбиране за практиките за сигурност при проектиране, пускат непълни кръпки и не прилагат подходящи процедури за тестване на сигурността.

„Това е обезпокоително, тъй като когато OT продуктите започнат да прилагат контроли за сигурност и в крайна сметка получат сертификат, възприемането на тяхната позиция по отношение на сигурността може да се промени и чувството за спешност около компенсиращите контроли може да спадне – което води до фалшиво чувство за сигурност“, заяви компанията.

Източник: The Hacker News

Подобни публикации

19 януари 2025

Нарушението на данните на Wolf Haldenstein зася...

Адвокатската кантора Wolf Haldenstein Adler Freeman & Herz LLP ...
19 януари 2025

САЩ призовават за преодоляване на разликата в р...

Агенцията за киберсигурност CISA и други правителствени агенции при...
19 януари 2025

САЩ наложиха санкции за масираната хакерска ата...

Министерството на финансите обяви в петък санкции във връзка с маща...
19 януари 2025

Фалшивият Брад Пит е разкрит: как етичен хакер ...

Маруан Уараб, бивш измамник и киберпрестъпник, превърнал се в етиче...
18 януари 2025

FTC нарежда на GoDaddy да коригира неадекватнит...

След като установи, че политиките за сигурност на GoDaddy са недост...
17 януари 2025

SSO - опростете достъпа и защитете бизнеса си

Днес предприятията са изправени пред сложна работна среда, в която ...
17 януари 2025

Руски кибершпиони са хванати да извършват Spear...

Изследователи на Microsoft са разкрили, че руски разузнавателни аге...
Бъдете социални
Още по темата
17/01/2025

SSO - опростете достъпа и з...

Днес предприятията са изправени пред сложна...
17/01/2025

Cisco представи AI Defense

Тази седмица Cisco представи AI Defense...
15/01/2025

Ivanti поправя критични уяз...

Във вторник Ivanti обяви пачове за...
Последно добавени
19/01/2025

Нарушението на данните на W...

Адвокатската кантора Wolf Haldenstein Adler Freeman...
19/01/2025

САЩ призовават за преодоляв...

Агенцията за киберсигурност CISA и други...
19/01/2025

САЩ наложиха санкции за мас...

Министерството на финансите обяви в петък...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!