La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha publicado<\/a> cuatro avisos de Sistemas de control industrial (ICS), que mencionan varias fallas de seguridad que afectan a los productos de Siemens, GE Digital y Contec.<\/p>\n Los problemas m\u00e1s cr\u00edticos se han identificado en Siemens SINEC INS que podr\u00edan conducir a la ejecuci\u00f3n remota de c\u00f3digo a trav\u00e9s de una falla transversal de ruta (CVE-2022-45092<\/a>puntaje CVSS: 9.9) e inyecci\u00f3n de comandos (CVE-2022-2068<\/a>puntuaci\u00f3n CVSS: 9,8).<\/p>\n Siemens tambi\u00e9n parch\u00f3 una vulnerabilidad de omisi\u00f3n de autenticaci\u00f3n en el analizador llhttp (CVE-2022-35256<\/a>puntuaci\u00f3n CVSS: 9,8), as\u00ed como un error de escritura fuera de los l\u00edmites en la biblioteca OpenSSL (CVE-2022-2274, puntuaci\u00f3n CVSS: 9,8) que podr\u00eda explotarse para desencadenar la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n La empresa de automatizaci\u00f3n alemana, en diciembre de 2022, publicado<\/a> Software Service Pack 2 Update 1 para mitigar las fallas.<\/p>\n Por separado, tambi\u00e9n se revel\u00f3 una falla cr\u00edtica en la soluci\u00f3n Proficy Historian de GE Digital que podr\u00eda resultar en la ejecuci\u00f3n del c\u00f3digo independientemente del estado de autenticaci\u00f3n. El problema, registrado como CVE-2022-46732 (puntaje CVSS: 9.8), afecta a las versiones 7.0 y posteriores de Proficy Historian, y se solucion\u00f3 en Proficy Historiador 2023<\/a>.<\/p>\n “Un atacante puede aprovechar este hecho y eludir la autenticaci\u00f3n del historial haci\u00e9ndose pasar por un servicio local”, Uri Katz, investigador de seguridad de la empresa de seguridad industrial Claroty, dicho<\/a>. “Esto permite a los atacantes remotos la capacidad de iniciar sesi\u00f3n en cualquier servidor GE Proficy Historian y forzarlo a realizar acciones no autorizadas”.<\/p>\n CISA tambi\u00e9n actualiz\u00f3 un aviso de ICS que se public\u00f3 el mes pasado, que detalla una vulnerabilidad cr\u00edtica de inyecci\u00f3n de comandos en el sistema HMI CONPROSYS de Contec (CVE-2022-44456, puntaje CVSS: 10.0) que podr\u00eda permitir que un atacante remoto env\u00ede solicitudes especialmente dise\u00f1adas para ejecutar comandos arbitrarios. .<\/p>\n Si bien Contec corrigi\u00f3 esta deficiencia en la versi\u00f3n 3.4.5, desde entonces se ha descubierto que el software es vulnerable a cuatro defectos adicionales que podr\u00edan provocar la divulgaci\u00f3n de informaci\u00f3n y el acceso no autorizado.<\/p>\n Se recomienda a los usuarios del Sistema HMI CONPROSYS que actualicen a la versi\u00f3n 3.5.0 o posterior, adem\u00e1s de tomar medidas para minimizar la exposici\u00f3n de la red y aislar dichos dispositivos de las redes comerciales.<\/p>\n Los avisos llegan menos de una semana despu\u00e9s de que CISA lanzara 12 alertas de este tipo advirtiendo sobre fallas cr\u00edticas que afectan el software de Sewio, InHand Networks, Sauter Controls y Siemens.<\/p>\n <\/p>\n