Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã công bố ba lời khuyên về Hệ thống điều khiển công nghiệp (ICS) về nhiều lỗ hổng trong phần mềm của ETIC Telecom, Nokia và Delta Industrial Automation.
Nổi bật trong số đó là bộ ba lỗ hổng ảnh hưởng đến Máy chủ truy cập từ xa (RAS) của ETIC Telecom, “có thể cho phép kẻ tấn công lấy thông tin nhạy cảm và xâm phạm thiết bị dễ bị tấn công và các máy được kết nối khác”, CISA cho biết.
Điều này bao gồm CVE-2022-3703 (điểm CVSS: 9,0), một lỗ hổng nghiêm trọng bắt nguồn từ việc cổng thông tin web RAS không thể xác minh tính xác thực của phần sụn, do đó có thể đưa vào một gói giả mạo cấp quyền truy cập cửa sau cho đối thủ.
Hai lỗ hổng khác liên quan đến lỗi truyền tải thư mục trong API RAS (CVE-2022-41607, điểm CVSS: 8,6) và sự cố tải tệp lên (CVE-2022-40981, điểm CVSS: 8,3) có thể bị lợi dụng để đọc các tệp tùy ý và tải lên các tệp độc hại có thể làm hỏng thiết bị.
Công ty an ninh mạng công nghiệp của Israel OTORIO được cho là đã phát hiện và báo cáo các sai sót. Tất cả các phiên bản ETIC Telecom RAS 4.5.0 trở về trước đều dễ bị tấn công, với các vấn đề được giải quyết bởi công ty Pháp trong phiên bản 4.7.3.
Lời khuyên thứ hai từ CISA liên quan đến ba lỗ hổng trong Mô-đun hệ thống chung ASIK AirScale 5G của Nokia (CVE-2022-2482, CVE-2022-2483 và CVE-2022-2484), có thể mở đường cho việc thực thi mã tùy ý và ngừng bảo mật chức năng khởi động. Tất cả các sai sót được đánh giá 8,4 trên thang điểm mức độ nghiêm trọng của CVSS.
“Việc khai thác thành công các lỗ hổng này có thể dẫn đến việc thực thi một nhân độc hại, chạy các chương trình độc hại tùy ý hoặc chạy các chương trình Nokia đã sửa đổi”, CISA lưu ý.
Gã khổng lồ viễn thông Phần Lan được cho là đã xuất bản hướng dẫn giảm thiểu các lỗ hổng ảnh hưởng đến các phiên bản ASIK 474021A.101 và ASIK 474021A.102. Cơ quan này khuyến nghị người dùng liên hệ trực tiếp với Nokia để biết thêm thông tin.
Cuối cùng, cơ quan an ninh mạng cũng đã cảnh báo về một lỗ hổng truyền qua đường dẫn (CVE-2022-2969, điểm CVSS: 8.1) ảnh hưởng đến các sản phẩm DIALink của Delta Industrial Automation và có thể bị lợi dụng để tạo mã độc trên các thiết bị được nhắm mục tiêu.
Thiếu sót đã được giải quyết trong phiên bản 1.5.0.0 Beta 4, mà CISA cho biết có thể đạt được bằng cách liên hệ trực tiếp với Delta Industrial Automation hoặc thông qua kỹ thuật ứng dụng hiện trường Delta (FAEs).
