ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Salı günü iki Endüstriyel Kontrol Sistemini (ICS) yayınladı. tavsiyeler Advantech R-SeeNet ve Hitachi Energy APM Edge cihazlarındaki ciddi kusurlarla ilgili.
Bu, R-SeeNet izleme çözümündeki üç zayıflıktan oluşur; bunlardan başarıyla yararlanılması “yetkisiz bir saldırganın sistemdeki dosyaları uzaktan silmesine veya uzaktan kod yürütülmesine izin vermesine neden olabilir.”
R-SeeNet Sürümleri 2.4.17 ve önceki sürümleri etkileyen sorunların listesi aşağıdaki gibidir:
- CVE-2022-3385 ve CVE-2022-3386 (CVSS puanları: 9.8) – Uzaktan kod yürütülmesine yol açabilecek iki yığın tabanlı arabellek taşması hatası
- CVE-2022-3387 (CVSS puanı: 6.5) – Uzaktaki bir saldırganın rastgele PDF dosyalarını silmesine olanak verebilecek bir yol geçiş hatası
Yamalar sürümde kullanıma sunuldu R-SeeNet sürüm 2.4.21 30 Eylül 2022’de yayınlandı.
Ayrıca CISA tarafından yayınlanan, Hitachi Energy Transformer Asset Performance Management (eylem sayısı) Erişilemez hale getirebilecek uç ürünler.
Toplu olarak 8.2 CVSS puanı atanan 29 güvenlik açığı, OpenSSL, LibSSL, libxml2 ve GRUB2 önyükleyici gibi açık kaynaklı yazılım bileşenlerindeki güvenlik açıklarından kaynaklanmaktadır. Hataları gidermek için kullanıcıların APM Edge sürüm 4.0’a güncelleme yapmaları önerilir.
İkiz uyarılar, CISA’dan bir haftadan kısa bir süre sonra geliyor yayınlanmış 25 ICS tavsiyesi 13 Ekim 2022’de Siemens, Hitachi Energy ve Mitsubishi Electric’e ait cihazlarda çeşitli güvenlik açıklarını kapsayacak şekilde.
OT siber güvenlik ve varlık izleme şirketi SynSaber’e göre, 2022’nin ilk yarısında CISA aracılığıyla 152’si Kritik, 289’u Yüksek ve 2015’te Orta Derecede olarak derecelendirilen 681 ICS ürün güvenlik açığı rapor edildi.
Ayrıca, Kritik/Yüksek Dereceli CVE’lerin 54’ünde, satıcılardan sağlanan herhangi bir düzeltme eki veya herhangi bir azaltma yoktur, bildirilen toplam kusurların %13’ünü oluşturur ve “sonsuza dek sürecek güvenlik açıkları” olarak kalır.
SynSaber, “Varlık sahipleri ve kritik altyapıyı savunanların, iyileştirmelerin ne zaman mevcut olduğunu ve bu iyileştirmelerin nasıl uygulanması ve önceliklendirilmesi gerektiğini anlaması önemlidir.” söz konusu.