ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yayınlanan Siemens, GE Digital ve Contec’in ürünlerini etkileyen çeşitli güvenlik kusurlarına işaret eden dört Endüstriyel Kontrol Sistemleri (ICS) tavsiyesi.
Siemens SINEC INS’de, bir yol geçiş kusuru yoluyla uzaktan kod yürütülmesine yol açabilecek sorunların en kritikleri tanımlanmıştır (CVE-2022-45092CVSS puanı: 9.9) ve komut enjeksiyonu (CVE-2022-2068CVSS puanı: 9.8).
Ayrıca Siemens tarafından yamalanmış olan, llhttp ayrıştırıcısındaki bir kimlik doğrulama atlama güvenlik açığıdır (CVE-2022-35256CVSS puanı: 9,8) ve OpenSSL kitaplığında (CVE-2022-2274, CVSS puanı: 9,8) sınır dışı yazma hatası (CVE-2022-2274, CVSS puanı: 9,8).
Alman otomasyon şirketi, Aralık 2022’de, yayınlandı Kusurları azaltmak için Service Pack 2 Update 1 yazılımı.
Ayrı olarak, GE Digital’in Proficy Historian çözümünde, kimlik doğrulama durumundan bağımsız olarak kod yürütülmesine neden olabilecek kritik bir kusur da ortaya çıktı. CVE-2022-46732 (CVSS puanı: 9.8) olarak izlenen sorun, Proficy Historian 7.0 ve sonraki sürümleri etkiliyor ve şu tarihte düzeltildi: Usta Tarihçi 2023.
Endüstriyel güvenlik şirketi Claroty’de güvenlik araştırmacısı olan Uri Katz, “Bir saldırgan bu gerçeği kullanabilir ve yerel bir hizmeti taklit ederek tarihçi kimlik doğrulamasını atlayabilir.” dedim. “Bu, uzaktaki saldırganların herhangi bir GE Proficy Historian sunucusunda oturum açma ve onu yetkisiz eylemler gerçekleştirmeye zorlama olanağı sağlıyor.”
CISA ayrıca, Contec CONPROSYS HMI Sisteminde (CVE-2022-44456, CVSS skoru: 10.0) kritik bir komut enjeksiyon güvenlik açığını detaylandırarak geçen ay yayınlanan bir ICS danışma belgesini güncelleyerek, uzaktaki bir saldırganın rastgele komutları yürütmek için özel hazırlanmış istekler göndermesine izin verebilir. .
Bu eksiklik Contec tarafından 3.4.5 sürümünde yamalanmış olsa da, yazılımın o zamandan beri bilgilerin ifşasına ve yetkisiz erişime yol açabilecek dört ek kusura karşı savunmasız olduğu bulundu.
CONPROSYS HMI Sistemi kullanıcılarının, ağ maruziyetini en aza indirmek ve bu tür cihazları iş ağlarından izole etmek için adımlar atmanın yanı sıra 3.5.0 veya sonraki bir sürüme güncelleme yapmaları önerilir.
Öneriler, CISA’nın Sewio, InHand Networks, Sauter Controls ve Siemens yazılımlarını etkileyen kritik kusurlara ilişkin bu tür 12 uyarıyı yayınlamasından bir haftadan kısa bir süre sonra geldi.