ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ETIC Telekom, Nokia ve Delta Endüstriyel Otomasyon yazılımlarındaki çoklu güvenlik açıkları hakkında üç Endüstriyel Kontrol Sistemi (ICS) tavsiyesi yayınladı.
CISA, ETIC Telecom’un Uzaktan Erişim Sunucusunu (RAS) etkileyen ve “saldırganın hassas bilgiler elde etmesine ve savunmasız cihazı ve diğer bağlı makineleri tehlikeye atmasına izin verebilecek” üç kusurdan oluşan bir dizi bunların arasında öne çıkıyor.
Buna, RAS web portalının üretici yazılımının gerçekliğini doğrulayamamasından kaynaklanan kritik bir kusur olan CVE-2022-3703 (CVSS puanı: 9.0) dahildir ve böylece düşmana arka kapı erişimi sağlayan hileli bir pakete girmeyi mümkün kılar.
Diğer iki kusur, RAS API’sindeki bir dizin geçiş hatası (CVE-2022-41607, CVSS puanı: 8.6) ve rastgele dosyaları okumak için kullanılabilecek bir dosya yükleme sorunu (CVE-2022-40981, CVSS puanı: 8.3) ile ilgilidir. ve cihazın güvenliğini tehlikeye atabilecek kötü amaçlı dosyalar yükleyin.
İsrailli endüstriyel siber güvenlik firması OTORIO, kusurları keşfetme ve bildirme konusunda itibar kazandı. ETIC Telecom RAS 4.5.0 ve önceki sürümlerinin tüm sürümleri, Fransız şirketi tarafından 4.7.3 sürümünde ele alınan sorunlarla savunmasızdır.
CISA’nın ikinci tavsiyesi, Nokia’nın ASIK AirScale 5G Ortak Sistem Modülündeki (CVE-2022-2482, CVE-2022-2483 ve CVE-2022-2484) üç kusurla ilgilidir; bunlar, rastgele kod yürütme ve güvenli güvenliği durdurmanın önünü açabilir. önyükleme işlevi. Tüm kusurlar CVSS önem ölçeğinde 8.4 olarak derecelendirilmiştir.
CISA, “Bu güvenlik açıklarından başarılı bir şekilde yararlanılması, kötü niyetli bir çekirdeğin yürütülmesine, keyfi kötü niyetli programların çalıştırılmasına veya değiştirilmiş Nokia programlarının çalıştırılmasına neden olabilir” dedi.
Finlandiyalı telekom devinin ASIK 474021A.101 ve ASIK 474021A.102 sürümlerini etkileyen kusurlar için azaltma talimatları yayınladığı söyleniyor. Ajans, kullanıcıların daha fazla bilgi için doğrudan Nokia ile iletişime geçmelerini tavsiye ediyor.
Son olarak, siber güvenlik yetkilisi, Delta Industrial Automation’ın DIALink ürünlerini etkileyen ve hedeflenen cihazlara kötü amaçlı kod yerleştirmek için kullanılabilecek bir yol geçiş güvenlik açığı (CVE-2022-2969, CVSS puanı: 8.1) konusunda da uyardı.
Eksiklik, CISA’nın doğrudan Delta Endüstriyel Otomasyon’a ulaşarak veya Delta saha uygulama mühendisliği (FAE’ler) aracılığıyla elde edilebileceğini söylediği 1.5.0.0 Beta 4 sürümünde ele alındı.