La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha publicado cuatro avisos de Sistemas de control industrial (ICS), que mencionan varias fallas de seguridad que afectan a los productos de Siemens, GE Digital y Contec.
Los problemas más críticos se han identificado en Siemens SINEC INS que podrían conducir a la ejecución remota de código a través de una falla transversal de ruta (CVE-2022-45092puntaje CVSS: 9.9) e inyección de comandos (CVE-2022-2068puntuación CVSS: 9,8).
Siemens también parchó una vulnerabilidad de omisión de autenticación en el analizador llhttp (CVE-2022-35256puntuación CVSS: 9,8), así como un error de escritura fuera de los límites en la biblioteca OpenSSL (CVE-2022-2274, puntuación CVSS: 9,8) que podría explotarse para desencadenar la ejecución remota de código.
La empresa de automatización alemana, en diciembre de 2022, publicado Software Service Pack 2 Update 1 para mitigar las fallas.
Por separado, también se reveló una falla crítica en la solución Proficy Historian de GE Digital que podría resultar en la ejecución del código independientemente del estado de autenticación. El problema, registrado como CVE-2022-46732 (puntaje CVSS: 9.8), afecta a las versiones 7.0 y posteriores de Proficy Historian, y se solucionó en Proficy Historiador 2023.
“Un atacante puede aprovechar este hecho y eludir la autenticación del historial haciéndose pasar por un servicio local”, Uri Katz, investigador de seguridad de la empresa de seguridad industrial Claroty, dicho. “Esto permite a los atacantes remotos la capacidad de iniciar sesión en cualquier servidor GE Proficy Historian y forzarlo a realizar acciones no autorizadas”.
CISA también actualizó un aviso de ICS que se publicó el mes pasado, que detalla una vulnerabilidad crítica de inyección de comandos en el sistema HMI CONPROSYS de Contec (CVE-2022-44456, puntaje CVSS: 10.0) que podría permitir que un atacante remoto envíe solicitudes especialmente diseñadas para ejecutar comandos arbitrarios. .
Si bien Contec corrigió esta deficiencia en la versión 3.4.5, desde entonces se ha descubierto que el software es vulnerable a cuatro defectos adicionales que podrían provocar la divulgación de información y el acceso no autorizado.
Se recomienda a los usuarios del Sistema HMI CONPROSYS que actualicen a la versión 3.5.0 o posterior, además de tomar medidas para minimizar la exposición de la red y aislar dichos dispositivos de las redes comerciales.
Los avisos llegan menos de una semana después de que CISA lanzara 12 alertas de este tipo advirtiendo sobre fallas críticas que afectan el software de Sewio, InHand Networks, Sauter Controls y Siemens.