A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) publicou oito avisos de vulnerabilidades críticas afetando produtos da Hitachi Energy, mySCADA Technologies, Industrial Control Links e Nexx em sistemas de controle industrial (ICS).
O
CVE-2022-3682
(pontuação CVSS: 9.9), que afeta o MicroSCADA System Data Manager SDM600 da Hitachi Energy, ocupa o topo da lista e permite que um invasor assuma o controle remoto do produto.
A vulnerabilidade decorre de um problema com a validação de permissão de arquivos, permitindo que um adversário faça upload de uma mensagem especialmente criada para o sistema, levando à execução de código arbitrário.
A Hitachi Energy lançou a versão SDM600 1.3.0.1339 para mitigar o problema para versões anteriores à versão 1.2 FP3 HF4 (Build Nr. 1.2.23000.291).
Outro conjunto de cinco vulnerabilidades críticas -
CVE-2023-28400
,
CVE-2023-28716
,
CVE-2023-28384
,
CVE-2023-29169
e
CVE-2023-29150
(pontuações CVSS: 9.9) - dizem respeito a bugs de injeção de comando presentes nas versões 8.26.0 e anteriores do mySCADA myPRO.
A CISA alertou que "a exploração bem-sucedida dessas vulnerabilidades pode permitir que um usuário autenticado injete comandos arbitrários no sistema operacional", recomendando que os usuários atualizem para a versão 8.29.0 ou superior.
Também foi divulgada uma vulnerabilidade de segurança crítica nos controladores ScadaFlex II SCADA da Industrial Control Links (
CVE-2022-25359
, pontuação CVSS: 9.1) que poderia permitir que um invasor autenticado sobrescrevesse, excluísse ou criasse arquivos.
A agência disse que a Industrial Control Links está fechando seus negócios e que esse produto pode ser considerado como fim de vida, podendo não haver suporte contínuo para ele.
Os usuários são recomendados a minimizar a exposição da rede, isolar as redes de sistemas de controle das redes de negócios e colocá-las atrás de firewalls para abordar riscos potenciais.
Cinco deficiências foram encontradas na lista, incluindo um bug crítico (
CVE-2023-1748
, pontuação CVSS: 9,3) que afeta controladores de porta de garagem, tomadas inteligentes e alarmes inteligentes vendidos pela Nexx.
As vulnerabilidades poderiam permitir que os atores ameaçassem abrir portas de garagem residenciais, assumissem o controle de tomadas inteligentes e ganhassem controle remoto de alarmes inteligentes.
A CISA disse que a exploração bem-sucedida dessas vulnerabilidades pode permitir que um invasor receba informações confidenciais, execute solicitações de interface de programação de aplicativo (API) ou sequestre dispositivos.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...