Ngày 18 tháng 1 năm 2023Ravie LakshmananICS/SCADA Security
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã công bố bốn lời khuyên về Hệ thống kiểm soát công nghiệp (ICS), chỉ ra một số lỗi bảo mật ảnh hưởng đến các sản phẩm của Siemens, GE Digital và Contec.
Vấn đề nghiêm trọng nhất đã được xác định trong Siemens SINEC INS có thể dẫn đến thực thi mã từ xa thông qua lỗ hổng truyền tải đường dẫn (CVE-2022-45092, điểm CVSS: 9,9) và chèn lệnh (CVE-2022-2068, điểm CVSS: 9.8).
Siemens cũng đã vá lỗ hổng bỏ qua xác thực trong trình phân tích cú pháp llhttp (CVE-2022-35256, điểm CVSS: 9,8) cũng như lỗi ghi ngoài giới hạn trong thư viện OpenSSL (CVE-2022-2274, điểm CVSS: 9,8 ) có thể bị khai thác để kích hoạt thực thi mã từ xa.
Công ty tự động hóa của Đức, vào tháng 12 năm 2022, đã phát hành phần mềm Service Pack 2 Update 1 để giảm thiểu các sai sót.
Một cách riêng biệt, một lỗ hổng nghiêm trọng cũng đã được tiết lộ trong giải pháp Lịch sử thành thạo của GE Digital có thể dẫn đến việc thực thi mã bất kể trạng thái xác thực. Sự cố, được theo dõi là CVE-2022-46732 (điểm CVSS: 9,8), ảnh hưởng đến Proficy Historian phiên bản 7.0 trở lên và đã được khắc phục trong Proficy Historian 2023.
Uri Katz, nhà nghiên cứu bảo mật tại công ty bảo mật công nghiệp Claroty, cho biết: “Kẻ tấn công có thể lợi dụng thực tế này và bỏ qua xác thực lịch sử bằng cách mạo danh một dịch vụ địa phương. “Điều này cho phép những kẻ tấn công từ xa có khả năng đăng nhập vào bất kỳ máy chủ GE Proficy Historian nào và buộc nó thực hiện các hành động trái phép.”
CISA cũng đã cập nhật một tư vấn ICS đã được xuất bản vào tháng trước, nêu chi tiết về lỗ hổng chèn lệnh quan trọng trong Hệ thống HMI Contec CONPROSYS (CVE-2022-44456, điểm CVSS: 10.0) có thể cho phép kẻ tấn công từ xa gửi các yêu cầu được chế tạo đặc biệt để thực thi các lệnh tùy ý .
Mặc dù nhược điểm này đã được vá bởi Contec trong phiên bản 3.4.5, nhưng kể từ đó, phần mềm này đã được phát hiện là dễ bị tổn thương bởi bốn lỗi bổ sung có thể dẫn đến tiết lộ thông tin và truy cập trái phép.
Người dùng Hệ thống CONPROSYS HMI được khuyến nghị cập nhật lên phiên bản 3.5.0 trở lên, ngoài việc thực hiện các bước để giảm thiểu tiếp xúc với mạng và cách ly các thiết bị đó khỏi mạng doanh nghiệp.
Các lời khuyên được đưa ra chưa đầy một tuần sau khi CISA đưa ra 12 cảnh báo như vậy cảnh báo về các lỗ hổng nghiêm trọng ảnh hưởng đến phần mềm từ Sewio, InHand Networks, Sauter Controls và Siemens.
