CISA met en garde contre des vulnérabilités critiques dans 3 logiciels de système de contrôle industriel


La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié trois avis sur les systèmes de contrôle industriel (ICS) concernant de multiples vulnérabilités dans les logiciels d’ETIC Telecom, Nokia et Delta Industrial Automation.

Parmi eux, un ensemble de trois failles affectant le serveur d’accès à distance (RAS) d’ETIC Telecom, qui « pourrait permettre à un attaquant d’obtenir des informations sensibles et de compromettre l’appareil vulnérable et d’autres machines connectées », a déclaré la CISA.

Cela inclut CVE-2022-3703 (score CVSS : 9,0), une faille critique qui découle de l’incapacité du portail Web RAS à vérifier l’authenticité du micrologiciel, permettant ainsi de glisser un paquet malveillant qui accorde un accès par porte dérobée à l’adversaire.

Deux autres failles concernent un bogue de traversée de répertoire dans l’API RAS (CVE-2022-41607, score CVSS : 8,6) et un problème de téléchargement de fichiers (CVE-2022-40981, score CVSS : 8,3) qui peuvent être exploités pour lire des fichiers arbitraires. et télécharger des fichiers malveillants qui peuvent compromettre l’appareil.

La société israélienne de cybersécurité industrielle OTORIO a été reconnue pour avoir découvert et signalé les failles. Toutes les versions d’ETIC Telecom RAS 4.5.0 et antérieures sont vulnérables, avec les problèmes adressé par la société française en version 4.7.3.

Le deuxième avis de la CISA concerne trois failles dans le module système commun ASIK AirScale 5G de Nokia (CVE-2022-2482, CVE-2022-2483 et CVE-2022-2484), qui pourraient ouvrir la voie à l’exécution de code arbitraire et à l’arrêt de la sécurité. fonctionnalité de démarrage. Tous les défauts sont notés 8,4 sur l’échelle de gravité CVSS.

« L’exploitation réussie de ces vulnérabilités pourrait entraîner l’exécution d’un noyau malveillant, l’exécution de programmes malveillants arbitraires ou l’exécution de programmes Nokia modifiés », a noté la CISA.

La cyber-sécurité

Le géant finlandais des télécoms aurait publié des instructions d’atténuation des failles qui impactent les versions ASIK 474021A.101 et ASIK 474021A.102. L’agence recommande aux utilisateurs de contacter directement Nokia pour plus d’informations.

Enfin, l’autorité de cybersécurité a également mis en garde contre une vulnérabilité de traversée de chemin (CVE-2022-2969, score CVSS : 8,1) qui affecte les produits DIALink de Delta Industrial Automation et pourrait être exploitée pour planter du code malveillant sur les appareils ciblés.

La lacune a été corrigée dans la version 1.5.0.0 Beta 4, qui, selon la CISA, peut être obtenue en contactant directement Delta Industrial Automation ou via l’ingénierie d’application sur le terrain (FAE) de Delta.



ttn-fr-57