Ngày 07 tháng 4 năm 2023Ravie LakshmananHệ thống điều khiển công nghiệp
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã công bố 8 tư vấn về Hệ thống kiểm soát công nghiệp (ICS) cảnh báo về các lỗ hổng nghiêm trọng ảnh hưởng đến các sản phẩm của Hitachi Energy, mySCADA Technologies, Industrial Control Links và Nexx.
Đứng đầu danh sách là CVE-2022-3682 (điểm CVSS: 9,9), ảnh hưởng đến Trình quản lý dữ liệu hệ thống MicroSCADA SDM600 của Hitachi Energy, có thể cho phép kẻ tấn công chiếm quyền điều khiển sản phẩm từ xa.
Lỗ hổng bắt nguồn từ sự cố xác thực quyền đối với tệp, do đó cho phép kẻ tấn công tải một thông báo được chế tạo đặc biệt lên hệ thống, dẫn đến việc thực thi mã tùy ý.
Hitachi Energy đã phát hành SDM600 1.3.0.1339 để giảm thiểu sự cố cho các phiên bản SDM600 trước phiên bản 1.2 FP3 HF4 (Số bản dựng 1.2.23000.291).
Một bộ năm lỗ hổng nghiêm trọng khác – CVE-2023-28400, CVE-2023-28716, CVE-2023-28384, CVE-2023-29169 và CVE-2023-29150 (điểm CVSS: 9,9) – liên quan đến lỗi tiêm lệnh hiện tại trong mySCADA phiên bản myPRO 8.26.0 trở về trước.
“Việc khai thác thành công các lỗ hổng này có thể cho phép người dùng được xác thực đưa vào các lệnh hệ điều hành tùy ý”, CISA cảnh báo và kêu gọi người dùng cập nhật lên phiên bản 8.29.0 trở lên.
Một lỗi bảo mật nghiêm trọng cũng đã được tiết lộ trong Industrial Control Links ScadaFlex II SCADA Controllers (CVE-2022-25359, điểm CVSS: 9.1) có thể cho phép kẻ tấn công được xác thực ghi đè, xóa hoặc tạo tệp.
“Industrial Control Links đã chuyển tiếp rằng họ đang đóng cửa hoạt động kinh doanh của mình,” cơ quan này cho biết. “Sản phẩm này có thể được coi là hết hạn sử dụng; hỗ trợ tiếp tục cho sản phẩm này có thể không khả dụng.”
Người dùng được khuyến nghị giảm thiểu khả năng tiếp xúc với mạng, cách ly mạng hệ thống điều khiển khỏi mạng doanh nghiệp và đặt chúng sau tường lửa để giải quyết các rủi ro tiềm ẩn.
Làm tròn danh sách là năm thiếu sót, bao gồm một lỗi nghiêm trọng (CVE-2023-1748, điểm CVSS: 9,3), ảnh hưởng đến bộ điều khiển cửa nhà để xe, phích cắm thông minh và báo động thông minh do Nexx bán.
Theo nhà nghiên cứu bảo mật Sam Sabetan, người đã phát hiện và báo cáo các vấn đề, các lỗ hổng có thể cho phép các tác nhân đe dọa bẻ khóa cửa nhà để xe đang mở, chiếm lấy phích cắm thông minh và giành quyền kiểm soát từ xa các hệ thống báo động thông minh.
Các phiên bản sau của thiết bị nhà thông minh Nexx bị ảnh hưởng –
Bộ điều khiển cửa nhà để xe Nexx (NXG-100B, NXG-200) – Phiên bản nxg200v-p3-4-1 và trước đó Nexx Smart Plug (NXPG-100W) – Phiên bản nxpg100cv4-0-0 và Nexx Smart Alarm (NXAL-100) trước đó – Phiên bản nxal100v-p1-9-1và trước đó
CISA cho biết: “Việc khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công nhận thông tin nhạy cảm, thực hiện các yêu cầu giao diện lập trình ứng dụng (API) hoặc chiếm quyền điều khiển thiết bị”.
