Falhas críticas em mySCADA myPRO
19 de Março de 2025

Pesquisadores de cibersegurança revelaram detalhes de duas falhas críticas que afetam o mySCADA myPRO, um sistema de Supervisory Control and Data Acquisition (SCADA) utilizado em ambientes de operational technology (OT), que poderiam permitir a atores maliciosos assumir o controle de sistemas suscetíveis.

"Essas vulnerabilidades, se exploradas, poderiam conceder acesso não autorizado a redes de controle industrial, potencialmente levando a interrupções operacionais graves e perdas financeiras," disse a empresa suíça de segurança PRODAFT.

A lista de deficiências, ambas classificadas com 9.3 no sistema de pontuação CVSS v4, são as seguintes:

- CVE-2025-20014 - Uma vulnerabilidade de injeção de comando no sistema operacional que poderia permitir a um atacante executar comandos arbitrários no sistema afetado através de solicitações POST especialmente criadas contendo um parâmetro de versão.

- CVE-2025-20061 - Uma vulnerabilidade de injeção de comando no sistema operacional que poderia permitir a um atacante executar comandos arbitrários no sistema afetado através de solicitações POST especialmente criadas contendo um parâmetro de email.

A exploração bem-sucedida de qualquer uma das duas falhas poderia permitir a um atacante injetar comandos no sistema e executar código arbitrário.

Os problemas foram resolvidos nas seguintes versões:

- mySCADA PRO Manager 1.3
- mySCADA PRO Runtime 9.2.1

De acordo com a PRODAFT, ambas as vulnerabilidades surgem de uma falha em sanear entradas de usuários, abrindo porta para uma injeção de comando.

"Estas vulnerabilidades destacam os riscos de segurança persistentes em sistemas SCADA e a necessidade de defesas mais fortes," disse a empresa.

A exploração poderia levar a interrupções operacionais, perdas financeiras e riscos à segurança.

Recomenda-se que as organizações apliquem os patches mais recentes, imponham segmentação de rede isolando sistemas SCADA de redes de IT, reforcem autenticação robusta e monitorem atividades suspeitas.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...