Pesquisadores de cibersegurança revelaram detalhes de duas falhas críticas que afetam o mySCADA myPRO, um sistema de Supervisory Control and Data Acquisition (SCADA) utilizado em ambientes de operational technology (OT), que poderiam permitir a atores maliciosos assumir o controle de sistemas suscetíveis.
"Essas vulnerabilidades, se exploradas, poderiam conceder acesso não autorizado a redes de controle industrial, potencialmente levando a interrupções operacionais graves e perdas financeiras," disse a empresa suíça de segurança PRODAFT.
A lista de deficiências, ambas classificadas com 9.3 no sistema de pontuação CVSS v4, são as seguintes:
-
CVE-2025-20014
- Uma vulnerabilidade de injeção de comando no sistema operacional que poderia permitir a um atacante executar comandos arbitrários no sistema afetado através de solicitações POST especialmente criadas contendo um parâmetro de versão.
-
CVE-2025-20061
- Uma vulnerabilidade de injeção de comando no sistema operacional que poderia permitir a um atacante executar comandos arbitrários no sistema afetado através de solicitações POST especialmente criadas contendo um parâmetro de email.
A exploração bem-sucedida de qualquer uma das duas falhas poderia permitir a um atacante injetar comandos no sistema e executar código arbitrário.
Os problemas foram resolvidos nas seguintes versões:
- mySCADA PRO Manager 1.3
- mySCADA PRO Runtime 9.2.1
De acordo com a PRODAFT, ambas as vulnerabilidades surgem de uma falha em sanear entradas de usuários, abrindo porta para uma injeção de comando.
"Estas vulnerabilidades destacam os riscos de segurança persistentes em sistemas SCADA e a necessidade de defesas mais fortes," disse a empresa.
A exploração poderia levar a interrupções operacionais, perdas financeiras e riscos à segurança.
Recomenda-se que as organizações apliquem os patches mais recentes, imponham segmentação de rede isolando sistemas SCADA de redes de IT, reforcem autenticação robusta e monitorem atividades suspeitas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...