La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) lanzó el martes dos Sistemas de Control Industrial (ICS) avisos relacionado con fallas graves en los dispositivos Advantech R-SeeNet y Hitachi Energy APM Edge.
Esto consiste en tres debilidades en la solución de monitoreo R-SeeNet, cuya explotación exitosa «podría resultar en que un atacante no autorizado elimine archivos en el sistema de forma remota o permita la ejecución remota de código».
La lista de problemas que afectan a las versiones 2.4.17 y anteriores de R-SeeNet es la siguiente:
- CVE-2022-3385 y CVE-2022-3386 (Puntuaciones CVSS: 9.8) – Dos fallas de desbordamiento de búfer basadas en pila que podrían conducir a la ejecución remota de código
- CVE-2022-3387 (Puntuación CVSS: 6,5) – Un error de cruce de ruta que podría permitir que un atacante remoto elimine archivos PDF arbitrarios
Los parches están disponibles en la versión R-SeeNet versión 2.4.21 publicado el 30 de septiembre de 2022.
CISA también publicó una actualización de un aviso de diciembre de 2021 sobre múltiples fallas en Hitachi Energy Transformer Asset Performance Management (APM) Productos de borde que podrían hacerlos inaccesibles.
Las 29 vulnerabilidades, a las que se les asignó colectivamente una puntuación CVSS de 8,2, se derivan de agujeros de seguridad en componentes de software de código abierto como OpenSSL, LibSSL, libxml2 y el gestor de arranque GRUB2. Se recomienda a los usuarios que actualicen a APM Edge versión 4.0 para corregir los errores.
Las alertas gemelas llegan menos de una semana después de CISA publicó 25 avisos ICS el 13 de octubre de 2022, que abarca varias vulnerabilidades en dispositivos de Siemens, Hitachi Energy y Mitsubishi Electric.
Según la empresa de ciberseguridad y monitoreo de activos de OT SynSaber, se informaron 681 vulnerabilidades de productos ICS a través de CISA en la primera mitad de 2022, de las cuales 152 tienen una calificación crítica, 289 tienen una calificación alta y 2015 tienen una calificación de gravedad media.
Además, 54 de los CVE críticos/de alta calificación no tienen parches ni mitigaciones disponibles de los proveedores, lo que representa el 13 % del total de fallas reportadas y las «vulnerabilidades permanentes» restantes.
«Es importante que los propietarios de activos y quienes defienden la infraestructura crítica entiendan cuándo hay soluciones disponibles y cómo se deben implementar y priorizar esas soluciones», SynSaber dijo.