CISA alerta para falhas críticas em produtos de ICS da Hitachi, mySCADA, ICL e Nexx
10 de Abril de 2023

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) publicou oito avisos de vulnerabilidades críticas afetando produtos da Hitachi Energy, mySCADA Technologies, Industrial Control Links e Nexx em sistemas de controle industrial (ICS).

O CVE-2022-3682 (pontuação CVSS: 9.9), que afeta o MicroSCADA System Data Manager SDM600 da Hitachi Energy, ocupa o topo da lista e permite que um invasor assuma o controle remoto do produto.

A vulnerabilidade decorre de um problema com a validação de permissão de arquivos, permitindo que um adversário faça upload de uma mensagem especialmente criada para o sistema, levando à execução de código arbitrário.

A Hitachi Energy lançou a versão SDM600 1.3.0.1339 para mitigar o problema para versões anteriores à versão 1.2 FP3 HF4 (Build Nr. 1.2.23000.291).

Outro conjunto de cinco vulnerabilidades críticas - CVE-2023-28400 , CVE-2023-28716 , CVE-2023-28384 , CVE-2023-29169 e CVE-2023-29150 (pontuações CVSS: 9.9) - dizem respeito a bugs de injeção de comando presentes nas versões 8.26.0 e anteriores do mySCADA myPRO.

A CISA alertou que "a exploração bem-sucedida dessas vulnerabilidades pode permitir que um usuário autenticado injete comandos arbitrários no sistema operacional", recomendando que os usuários atualizem para a versão 8.29.0 ou superior.

Também foi divulgada uma vulnerabilidade de segurança crítica nos controladores ScadaFlex II SCADA da Industrial Control Links ( CVE-2022-25359 , pontuação CVSS: 9.1) que poderia permitir que um invasor autenticado sobrescrevesse, excluísse ou criasse arquivos.

A agência disse que a Industrial Control Links está fechando seus negócios e que esse produto pode ser considerado como fim de vida, podendo não haver suporte contínuo para ele.

Os usuários são recomendados a minimizar a exposição da rede, isolar as redes de sistemas de controle das redes de negócios e colocá-las atrás de firewalls para abordar riscos potenciais.

Cinco deficiências foram encontradas na lista, incluindo um bug crítico ( CVE-2023-1748 , pontuação CVSS: 9,3) que afeta controladores de porta de garagem, tomadas inteligentes e alarmes inteligentes vendidos pela Nexx.

As vulnerabilidades poderiam permitir que os atores ameaçassem abrir portas de garagem residenciais, assumissem o controle de tomadas inteligentes e ganhassem controle remoto de alarmes inteligentes.

A CISA disse que a exploração bem-sucedida dessas vulnerabilidades pode permitir que um invasor receba informações confidenciais, execute solicitações de interface de programação de aplicativo (API) ou sequestre dispositivos.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...