ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yayınlanan ETIC Telecom, Nokia ve Delta Industrial Automation yazılımlarındaki çoklu güvenlik açıkları hakkında üç Endüstriyel Kontrol Sistemi (ICS) tavsiyesi.
CISA, ETIC Telecom’un Uzaktan Erişim Sunucusunu (RAS) etkileyen ve “saldırganın hassas bilgiler elde etmesine ve savunmasız cihazı ve diğer bağlı makineleri tehlikeye atmasına izin verebilecek” üç kusurdan oluşan bir dizi bunların arasında öne çıkıyor.
Buna, RAS web portalının üretici yazılımının gerçekliğini doğrulayamamasından kaynaklanan kritik bir kusur olan CVE-2022-3703 (CVSS puanı: 9.0) dahildir ve böylece düşmana arka kapı erişimi sağlayan hileli bir pakete girmeyi mümkün kılar.
Diğer iki kusur, RAS API’sindeki bir dizin geçiş hatası (CVE-2022-41607, CVSS puanı: 8.6) ve rastgele dosyaları okumak için kullanılabilecek bir dosya yükleme sorunu (CVE-2022-40981, CVSS puanı: 8.3) ile ilgilidir. ve cihazın güvenliğini tehlikeye atabilecek kötü amaçlı dosyalar yükleyin.
İsrailli endüstriyel siber güvenlik firması OTORIO, kusurları keşfetme ve bildirme konusunda itibar kazandı. ETIC Telecom RAS 4.5.0 ve önceki sürümlerin tüm sürümleri, sorunlarla ilgili savunmasızdır ele alinan Fransız şirketi tarafından 4.7.3 sürümünde.
CISA’nın ikinci tavsiyesi, Nokia’nın ASIK AirScale 5G Ortak Sistem Modülündeki (CVE-2022-2482, CVE-2022-2483 ve CVE-2022-2484) üç kusurla ilgilidir; bunlar, rastgele kod yürütme ve güvenli güvenliği durdurmanın önünü açabilir. önyükleme işlevi. Tüm kusurlar CVSS önem ölçeğinde 8.4 olarak derecelendirilmiştir.
CISA, “Bu güvenlik açıklarından başarılı bir şekilde yararlanılması, kötü niyetli bir çekirdeğin yürütülmesine, keyfi kötü niyetli programların çalıştırılmasına veya değiştirilmiş Nokia programlarının çalıştırılmasına neden olabilir” dedi.
Finlandiyalı telekom devinin ASIK 474021A.101 ve ASIK 474021A.102 sürümlerini etkileyen kusurlar için azaltma talimatları yayınladığı söyleniyor. Ajans, kullanıcıların daha fazla bilgi için doğrudan Nokia ile iletişime geçmelerini tavsiye ediyor.
Son olarak, siber güvenlik yetkilisi, Delta Industrial Automation’ın DIALink ürünlerini etkileyen ve hedeflenen cihazlara kötü amaçlı kod yerleştirmek için kullanılabilecek bir yol geçiş güvenlik açığı (CVE-2022-2969, CVSS puanı: 8.1) konusunda da uyardı.
Eksiklik, CISA’nın doğrudan Delta Endüstriyel Otomasyon’a ulaşarak veya Delta saha uygulama mühendisliği (FAE’ler) aracılığıyla elde edilebileceğini söylediği 1.5.0.0 Beta 4 sürümünde ele alındı.