A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) publicou oito avisos de vulnerabilidades críticas afetando produtos da Hitachi Energy, mySCADA Technologies, Industrial Control Links e Nexx em sistemas de controle industrial (ICS).
O
CVE-2022-3682
(pontuação CVSS: 9.9), que afeta o MicroSCADA System Data Manager SDM600 da Hitachi Energy, ocupa o topo da lista e permite que um invasor assuma o controle remoto do produto.
A vulnerabilidade decorre de um problema com a validação de permissão de arquivos, permitindo que um adversário faça upload de uma mensagem especialmente criada para o sistema, levando à execução de código arbitrário.
A Hitachi Energy lançou a versão SDM600 1.3.0.1339 para mitigar o problema para versões anteriores à versão 1.2 FP3 HF4 (Build Nr. 1.2.23000.291).
Outro conjunto de cinco vulnerabilidades críticas -
CVE-2023-28400
,
CVE-2023-28716
,
CVE-2023-28384
,
CVE-2023-29169
e
CVE-2023-29150
(pontuações CVSS: 9.9) - dizem respeito a bugs de injeção de comando presentes nas versões 8.26.0 e anteriores do mySCADA myPRO.
A CISA alertou que "a exploração bem-sucedida dessas vulnerabilidades pode permitir que um usuário autenticado injete comandos arbitrários no sistema operacional", recomendando que os usuários atualizem para a versão 8.29.0 ou superior.
Também foi divulgada uma vulnerabilidade de segurança crítica nos controladores ScadaFlex II SCADA da Industrial Control Links (
CVE-2022-25359
, pontuação CVSS: 9.1) que poderia permitir que um invasor autenticado sobrescrevesse, excluísse ou criasse arquivos.
A agência disse que a Industrial Control Links está fechando seus negócios e que esse produto pode ser considerado como fim de vida, podendo não haver suporte contínuo para ele.
Os usuários são recomendados a minimizar a exposição da rede, isolar as redes de sistemas de controle das redes de negócios e colocá-las atrás de firewalls para abordar riscos potenciais.
Cinco deficiências foram encontradas na lista, incluindo um bug crítico (
CVE-2023-1748
, pontuação CVSS: 9,3) que afeta controladores de porta de garagem, tomadas inteligentes e alarmes inteligentes vendidos pela Nexx.
As vulnerabilidades poderiam permitir que os atores ameaçassem abrir portas de garagem residenciais, assumissem o controle de tomadas inteligentes e ganhassem controle remoto de alarmes inteligentes.
A CISA disse que a exploração bem-sucedida dessas vulnerabilidades pode permitir que um invasor receba informações confidenciais, execute solicitações de interface de programação de aplicativo (API) ou sequestre dispositivos.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...