Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) trong tuần này đã đưa ra cảnh báo tư vấn Hệ thống kiểm soát công nghiệp (ICS) về nhiều lỗ hổng trong phần mềm kỹ thuật Mitsubishi Electric GX Works3.
“Việc khai thác thành công các lỗ hổng này có thể cho phép người dùng trái phép truy cập vào các mô-đun CPU dòng MELSEC iQ-R/F/L và mô-đun máy chủ OPC UA dòng MELSEC iQ-R hoặc để xem và thực thi các chương trình,” cơ quan này cho biết.
GX Works3 là một phần mềm máy trạm kỹ thuật được sử dụng trong môi trường ICS, hoạt động như một cơ chế để tải lên và tải xuống các chương trình từ/đến bộ điều khiển, khắc phục sự cố phần mềm và phần cứng cũng như thực hiện các hoạt động bảo trì.
Phạm vi chức năng rộng cũng khiến chúng trở thành mục tiêu hấp dẫn đối với các tác nhân đe dọa đang tìm cách xâm phạm các hệ thống như vậy để chiếm đoạt các PLC được quản lý.
Ba trong số 10 thiếu sót liên quan đến lưu trữ văn bản rõ ràng của dữ liệu nhạy cảm, bốn thiếu sót liên quan đến việc sử dụng khóa mật mã được mã hóa cứng, hai thiếu sót liên quan đến việc sử dụng mật khẩu được mã hóa cứng và một liên quan đến trường hợp thông tin xác thực được bảo vệ không đầy đủ.
Các lỗi nghiêm trọng nhất, CVE-2022-25164 và CVE-2022-29830, có điểm CVSS là 9,1 và có thể bị lạm dụng để có quyền truy cập vào mô-đun CPU và lấy thông tin về các tệp dự án mà không yêu cầu bất kỳ quyền nào.
Nozomi Networks, công ty đã phát hiện ra CVE-2022-29831 (điểm CVSS: 7,5), cho biết kẻ tấn công có quyền truy cập vào tệp dự án PLC an toàn có thể khai thác mật khẩu được mã hóa cứng để truy cập trực tiếp vào mô-đun CPU an toàn và có khả năng làm gián đoạn các quy trình công nghiệp.
Công ty cho biết: “Phần mềm kỹ thuật đại diện cho một thành phần quan trọng trong chuỗi bảo mật của bộ điều khiển công nghiệp. “Nếu có bất kỳ lỗ hổng nào phát sinh trong chúng, kẻ thù có thể lạm dụng chúng để cuối cùng xâm phạm các thiết bị được quản lý và do đó, quy trình công nghiệp được giám sát.”
Tiết lộ được đưa ra khi CISA tiết lộ chi tiết về lỗ hổng tấn công từ chối dịch vụ (DoS) trong Dòng sản phẩm Mitsubishi Electric MELSEC iQ-R bắt nguồn từ việc thiếu xác thực đầu vào thích hợp (CVE-2022-40265, điểm CVSS: 8,6).
“Việc khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công từ xa không được xác thực gây ra tình trạng từ chối dịch vụ trên sản phẩm mục tiêu bằng cách gửi các gói được chế tạo đặc biệt”, CISA lưu ý.
Trong một diễn biến liên quan, cơ quan an ninh mạng đã phác thảo thêm ba vấn đề ảnh hưởng đến Bộ điều khiển nhỏ gọn từ xa (RCC) 972 từ Horner Automation, vấn đề nghiêm trọng nhất (CVE-2022-2641, điểm CVSS: 9,8) có thể dẫn đến thực thi mã từ xa hoặc gây ra lỗi điều kiện DoS.
