Ngày 22 tháng 3 năm 2023Ravie LakshmananICS/SCADA Security
Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ (CISA) đã đưa ra 8 khuyến cáo về Hệ thống Kiểm soát Công nghiệp (ICS) vào thứ Ba, cảnh báo về các lỗ hổng nghiêm trọng ảnh hưởng đến thiết bị của Delta Electronics và Rockwell Automation.
Điều này bao gồm 13 lỗ hổng bảo mật trong InfraSuite Device Master của Delta Electronics, một phần mềm giám sát thiết bị theo thời gian thực. Tất cả các phiên bản trước 1.0.5 đều bị ảnh hưởng bởi sự cố này.
CISA cho biết: “Việc khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công không được xác thực có quyền truy cập vào các tệp và thông tin đăng nhập, leo thang đặc quyền và thực thi mã tùy ý từ xa”.
Đứng đầu danh sách là CVE-2023-1133 (điểm CVSS: 9,8), một lỗ hổng nghiêm trọng phát sinh từ việc InfraSuite Device Master chấp nhận các gói UDP chưa được xác minh và giải tuần tự hóa nội dung, do đó cho phép kẻ tấn công từ xa không được xác thực thực thi mã tùy ý.
Hai lỗ hổng khử lưu huỳnh khác, CVE-2023-1139 (điểm CVSS: 8,8) và CVE-2023-1145 (điểm CVSS: 7,8) cũng có thể được vũ khí hóa để thực thi mã từ xa, CISA cảnh báo.
Piotr Bazydlo và một nhà nghiên cứu bảo mật ẩn danh đã được ghi nhận là người đã phát hiện và báo cáo những thiếu sót cho CISA.
Một tập hợp các lỗ hổng khác liên quan đến ThinManager ThinServer của Rockwell Automation và ảnh hưởng đến các phiên bản sau của phần mềm quản lý máy chủ giao thức máy tính từ xa và máy khách mỏng (RDP) –
6.x – 10.x 11.0.0 – 11.0.5 11.1.0 – 11.1.5 11.2.0 – 11.2.6 12.0.0 – 12.0.4 12.1.0 – 12.1.5 và 13.0.0 – 13.0. 1
Vấn đề nghiêm trọng nhất là lỗ hổng truyền tải hai đường dẫn được theo dõi là CVE-2023-28755 (điểm CVSS: 9,8) và CVE-2023-28756 (điểm CVSS: 7,5) có thể cho phép kẻ tấn công từ xa không được xác thực tải các tệp tùy ý lên thư mục nơi ThinServer.exe được cài đặt.
Đáng lo ngại hơn nữa, kẻ thù có thể vũ khí hóa CVE-2023-28755 để ghi đè lên các tệp thực thi hiện có bằng các phiên bản trojan, có khả năng dẫn đến thực thi mã từ xa.
CISA lưu ý: “Việc khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công thực hiện thực thi mã từ xa trên hệ thống/thiết bị đích hoặc làm sập phần mềm”.
Người dùng nên cập nhật lên các phiên bản 11.0.6, 11.1.6, 11.2.7, 12.0.5, 12.1.6 và 13.0.2 để giảm thiểu các mối đe dọa tiềm ẩn. Các phiên bản ThinManager ThinServer 6.x – 10.x đã ngừng hoạt động, yêu cầu người dùng nâng cấp lên phiên bản được hỗ trợ.
Như một giải pháp thay thế, bạn cũng nên giới hạn quyền truy cập từ xa vào cổng 2031/TCP đối với các máy khách mỏng và máy chủ ThinManager đã biết.
Tiết lộ được đưa ra hơn sáu tháng sau khi CISA cảnh báo về lỗ hổng tràn bộ đệm nghiêm trọng trong Rockwell Automation ThinManager ThinServer (CVE-2022-38742, điểm CVSS: 8.1) có thể dẫn đến việc thực thi mã từ xa tùy ý.
