La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha publicado ocho Avisos de sistemas de control industrial (ICS) que advierten sobre fallas críticas que afectan a los productos de Hitachi Energy, mySCADA Technologies, Industrial Control Links y Nexx.
Encabezando la lista está CVE-2022-3682 (puntuación CVSS: 9,9), lo que afecta al administrador de datos del sistema MicroSCADA SDM600 de Hitachi Energy, que podría permitir que un atacante tome el control remoto del producto.
La falla se deriva de un problema con la validación de permisos de archivos, lo que permite que un adversario cargue un mensaje especialmente diseñado en el sistema, lo que lleva a la ejecución de código arbitrario.
Hitachi Energy ha lanzado SDM600 1.3.0.1339 para mitigar el problema para las versiones de SDM600 anteriores a la versión 1.2 FP3 HF4 (Build Nr. 1.2.23000.291).
Otro conjunto de cinco vulnerabilidades críticas: CVE-2023-28400, CVE-2023-28716, CVE-2023-28384, CVE-2023-29169y CVE-2023-29150 (Puntuaciones CVSS: 9.9): se relaciona con errores de inyección de comandos presentes en mySCADA myPRO versiones 8.26.0 y anteriores.
«La explotación exitosa de estas vulnerabilidades podría permitir que un usuario autenticado inyecte comandos arbitrarios del sistema operativo», advirtió CISA, instando a los usuarios a actualizar a la versión 8.29.0 o superior.
También se ha revelado un error de seguridad crítico en los controladores SCADA ScadaFlex II de Industrial Control Links (CVE-2022-25359puntuación CVSS: 9.1) que podría permitir a un atacante autenticado sobrescribir, eliminar o crear archivos.
«Industrial Control Links ha informado que están cerrando su negocio», dijo la agencia. «Este producto puede considerarse al final de su vida útil; es posible que no esté disponible el soporte continuo para este producto».
Se recomienda a los usuarios que minimicen la exposición de la red, aíslen las redes del sistema de control de las redes comerciales y las coloquen detrás de firewalls para abordar los riesgos potenciales.
Completan la lista cinco deficiencias, incluido un error crítico (CVE-2023-1748puntuación CVSS: 9,3), que afecta a los controladores de puertas de garaje, enchufes inteligentes y alarmas inteligentes vendidos por Nexx.
Las vulnerabilidades que podrían permitir a los actores de amenazas abrir las puertas del garaje de la casa, apoderarse de los enchufes inteligentes y obtener el control remoto de las alarmas inteligentes, según un investigador de seguridad. sam sabetanquien descubrió e informó los problemas.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
Las siguientes versiones de dispositivos domésticos inteligentes Nexx se ven afectadas:
- Controlador de puerta de garaje Nexx (NXG-100B, NXG-200) – Versión nxg200v-p3-4-1 y anteriores
- Nexx Smart Plug (NXPG-100W) – Versión nxpg100cv4-0-0 y anteriores
- Nexx Smart Alarm (NXAL-100) – Versión nxal100v-p1-9-1 y anteriores
«La explotación exitosa de estas vulnerabilidades podría permitir que un atacante reciba información confidencial, ejecute solicitudes de interfaz programable de aplicaciones (API) o secuestre dispositivos», dijo CISA.