La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó esta semana una advertencia de aviso de Sistemas de control industrial (ICS) sobre múltiples vulnerabilidades en el software de ingeniería Mitsubishi Electric GX Works3.
«La explotación exitosa de estas vulnerabilidades podría permitir a los usuarios no autorizados obtener acceso a los módulos de CPU de la serie MELSEC iQ-R/F/L y al módulo de servidor OPC UA de la serie MELSEC iQ-R o ver y ejecutar programas», dijo la agencia. dijo.
Trabajos GX3 es un estación de trabajo de ingeniería software utilizado en entornos ICS, que actúa como un mecanismo para cargar y descargar programas desde/hacia el controlador, solucionar problemas de software y hardware y realizar operaciones de mantenimiento.
La amplia gama de funciones también los convierte en un objetivo atractivo para los actores de amenazas que buscan comprometer dichos sistemas para apoderarse de los PLC administrados.
Tres de las 10 deficiencias se relacionan con el almacenamiento de datos confidenciales en texto claro, cuatro se relacionan con el uso de una clave criptográfica codificada, dos se relacionan con el uso de una contraseña codificada y una se refiere a un caso de credenciales insuficientemente protegidas.
El más crítico de los errores, CVE-2022-25164y CVE-2022-29830tiene una puntuación CVSS de 9,1 y se puede abusar de él para obtener acceso al módulo de la CPU y obtener información sobre los archivos del proyecto sin necesidad de ningún permiso.
Nozomi Networks, que descubrió CVE-2022-29831 (puntaje CVSS: 7.5), dijo que un atacante con acceso a un archivo de proyecto de PLC de seguridad podría explotar la contraseña codificada para acceder directamente al módulo de CPU de seguridad y potencialmente interrumpir los procesos industriales.
«El software de ingeniería representa un componente crítico en la cadena de seguridad de los controladores industriales», la empresa dijo. «Si surge alguna vulnerabilidad en ellos, los adversarios pueden abusar de ellos para comprometer en última instancia los dispositivos administrados y, en consecuencia, el proceso industrial supervisado».
La divulgación viene como CISA reveló detalles de una vulnerabilidad de denegación de servicio (DoS) en Mitsubishi Electric MELSEC iQ-R Series que se deriva de la falta de validación de entrada adecuada (CVE-2022-40265puntuación CVSS: 8,6).
«La explotación exitosa de esta vulnerabilidad podría permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio en un producto de destino mediante el envío de paquetes especialmente diseñados», señaló CISA.
En un desarrollo relacionado, la agencia de seguridad cibernética describió además tres problemas que afectan el controlador compacto remoto (RCC) 972 de Horner Automation, el más crítico de los cuales (CVE-2022-2641puntaje CVSS: 9.8) podría conducir a la ejecución remota de código o causar una condición DoS.