ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) birkaç Endüstriyel Kontrol Sistemi (ICS) yayınladı. tavsiyeler Sewio, InHand Networks, Sauter Controls ve Siemens ürünlerini etkileyen kritik güvenlik kusurları konusunda uyarı.
Kusurların en ciddi olanı, bir saldırgan tarafından “sunucuya yetkisiz erişim elde etmek, bilgileri değiştirmek, hizmet reddi durumu oluşturmak, artırılmış ayrıcalıklar elde etmek ve rasgele kod yürütmek” için istismar edilebilecek Sewio’nun RTLS Studio’suyla ilgilidir. CISA’ya göre.
Bu, uygulamanın veritabanındaki seçili kullanıcılar için potansiyel olarak uzaktaki düşmanlara sınırsız erişim sağlayan sabit kodlanmış parolalar durumu olan CVE-2022-45444’ü (CVSS puanı: 10.0) içerir.
Ayrıca iki komut enjeksiyon kusuru (CVE-2022-47911 ve CVE-2022-43483, CVSS puanları: 9.1) ve sınır dışı yazma güvenlik açığı (CVE-2022-41989, CVSS puanı: 9.1) dikkat çekicidir. hizmet reddi koşulu veya kod yürütme.
Güvenlik açıkları, 2.6.2 sürümü dahil olmak üzere RTLS Studio sürüm 2.0.0’ı etkiler. Kullanıcıların 3.0.0 veya sonraki bir sürüme güncelleme yapmaları önerilir.
CISA, bir ikinci uyarıInHand Networks InRouter 302 ve InRouter 615’te CVE-2023-22600 (CVSS puanı: 10.0) dahil olmak üzere komut enjeksiyonuna, bilgilerin ifşasına ve kod yürütmeye yol açabilecek beş güvenlik kusurunu vurguladı.
Ajans, “Düzgün bir şekilde zincirlenirse, bu güvenlik açıkları, yetkisiz bir uzak kullanıcının bulut tarafından erişilebilen her bulut tarafından yönetilen InHand Networks cihazını tamamen tehlikeye atmasına neden olabilir” dedi.
IR302 V3.5.56’dan önceki InRouter 302’nin ve InRouter6XX-S-V2.3.0.r5542’den önceki InRouter 615’in tüm üretici yazılımı sürümleri hatalara açıktır.
Güvenlik açıkları da ifşa Sauter Controls Nova 220, Nova 230, Nova 106 ve moduNet300’de hassas bilgilere (CVE-2023-0053, CVSS puanı: 7,5) ve uzaktan kod yürütmeye (CVE-2023-0052, CVSS puanı: 9,8) yetkisiz görünürlük sağlayabilir .
Ancak İsviçre merkezli otomasyon şirketi, ürün hattının artık desteklenmemesi nedeniyle belirlenen sorunlar için düzeltmeler yayınlamayı planlamıyor.
Son olarak, güvenlik teşkilatı detaylı siteler arası komut dosyası çalıştırma (XSS) Siemens Mendix SAML ekipmanında (CVE-2022-46823, CVSS puanı: 9.3), bir tehdit aktörünün kullanıcıları kandırarak özel hazırlanmış bir bağlantıyı tıklatarak hassas bilgiler elde etmesine izin verebilecek kusur.
Kullanıcılara, potansiyel riskleri azaltmak için çok faktörlü kimlik doğrulamayı etkinleştirmeleri ve Mendix SAML’yi 2.3.4 (Mendix 8), 3.3.8 (Mendix 9, Upgrade Track) veya 3.3.9 (Mendix 9, New Track) sürümlerine güncellemeleri önerilir.
