Софтуерът за автоматизация от Mitsubishi Electric и Rockwell Automation може да бъде обект на отдалечено изпълнение на код (RCE), отказ на услуга (DoS) и др.
Критичните уязвимости в сигурността, засягащи софтуера за автоматизация от Mitsubishi Electric и Rockwell Automation, биха могли да позволят различни начини за отдалечено изпълнение на код (RCE), заобикаляне на удостоверяването, подправяне на продукта или отказ на услуга (DoS).
Това твърди Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA), която вчера предупреди, че нападател може да се възползва от грешката на Mitsubishi Electric (CVE-2023-6943, CVSS оценка 9,8), като извика функция с път към злонамерена библиотека, докато е свързан с устройството – което води до заобикаляне на удостоверяването, RCE, DoS или манипулиране на данни.
Междувременно грешката на Rockwell Automation (CVE-2024-10386, CVSS 9,8) произтича от липсваща проверка за автентификация; кибератаката с достъп до мрежата може да се използва, като се изпращат подправени съобщения до устройството, което може да доведе до манипулиране на базата данни.
Критичните уязвимости са две от няколкото проблема, засягащи портфолиото от интелигентни производства на Mitsubishi и Rockwell Automation, като всички те са изброени в разкритието на CISA за Хелоуин. И двамата доставчици на индустриални системи за управление (ICS) са издали смекчаващи мерки, които производителите трябва да следват, за да избегнат бъдещи компрометирания.
Некритичните грешки включват:
Производителите трябва да приложат пачове и смекчаващи мерки възможно най-скоро, като се има предвид, че интелигентните производства са сред най-целевите сектори на ICS. Новините идват и в момент, когато атаките на национални държави срещу критичната инфраструктура на САЩ се увеличават, като CISA предупреждава, че руските и китайските напреднали постоянни заплахи (APT) не показват признаци на забавяне на нападенията си срещу комунални услуги, телекомуникации и други цели с висока стойност. Наскоро и Канада предупреди за продължителни кибератаки от страна на Китай срещу нейната критична инфраструктура.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.