La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié plusieurs systèmes de contrôle industriel (ICS) avis avertissement de failles de sécurité critiques affectant les produits de Sewio, InHand Networks, Sauter Controls et Siemens.
La plus grave des failles concerne le RTLS Studio de Sewio, qui pourrait être exploité par un attaquant pour « obtenir un accès non autorisé au serveur, modifier des informations, créer une condition de déni de service, obtenir des privilèges élevés et exécuter du code arbitraire ». selon CISA.
Cela inclut CVE-2022-45444 (score CVSS : 10,0), un cas de mots de passe codés en dur pour certains utilisateurs dans la base de données de l’application qui accordent potentiellement à des adversaires distants un accès illimité.
Il convient également de noter deux failles d’injection de commande (CVE-2022-47911 et CVE-2022-43483, scores CVSS : 9,1) et une vulnérabilité d’écriture hors limites (CVE-2022-41989, score CVSS : 9,1) qui pourraient entraîner condition de déni de service ou exécution de code.
Les vulnérabilités affectent RTLS Studio version 2.0.0 jusqu’à la version 2.6.2 incluse. Il est recommandé aux utilisateurs de mettre à jour vers la version 3.0.0 ou ultérieure.
CISA, dans un deuxième alertea mis en évidence un ensemble de cinq failles de sécurité dans InHand Networks InRouter 302 et InRouter 615, y compris CVE-2023-22600 (score CVSS : 10,0), qui pourraient entraîner l’injection de commandes, la divulgation d’informations et l’exécution de code.
« Si elles sont correctement enchaînées, ces vulnérabilités pourraient amener un utilisateur distant non autorisé à compromettre complètement chaque appareil InHand Networks géré dans le cloud accessible par le cloud », a déclaré l’agence.
Toutes les versions de firmware de InRouter 302 antérieures à IR302 V3.5.56 et InRouter 615 antérieures à InRouter6XX-S-V2.3.0.r5542 sont sensibles aux bogues.
Des failles de sécurité ont également été divulgué dans Sauter Controls Nova 220, Nova 230, Nova 106 et moduNet300 qui pourraient permettre une visibilité non autorisée d’informations sensibles (CVE-2023-0053, score CVSS : 7,5) et l’exécution de code à distance (CVE-2023-0052, score CVSS : 9,8) .
Cependant, la société d’automatisation basée en Suisse ne prévoit pas de publier de correctifs pour les problèmes identifiés en raison du fait que la gamme de produits n’est plus prise en charge.
Enfin, l’agence de sécurité détaillé un cross-site scripting (XSS) faille dans l’équipement Siemens Mendix SAML (CVE-2022-46823, score CVSS : 9,3) qui pourrait permettre à un acteur malveillant d’obtenir des informations sensibles en incitant les utilisateurs à cliquer sur un lien spécialement conçu.
Il est conseillé aux utilisateurs d’activer l’authentification multifacteur et de mettre à jour Mendix SAML vers les versions 2.3.4 (Mendix 8), 3.3.8 (Mendix 9, Upgrade Track) ou 3.3.9 (Mendix 9, New Track) pour atténuer les risques potentiels.