ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Sewio, InHand Networks, Sauter Controls ve Siemens ürünlerini etkileyen kritik güvenlik kusurları konusunda uyarıda bulunan birkaç Endüstriyel Kontrol Sistemleri (ICS) tavsiyesi yayınladı.
Kusurların en ciddi olanı, bir saldırgan tarafından “sunucuya yetkisiz erişim elde etmek, bilgileri değiştirmek, hizmet reddi durumu oluşturmak, artırılmış ayrıcalıklar elde etmek ve rasgele kod yürütmek” için istismar edilebilecek Sewio’nun RTLS Studio’suyla ilgilidir. CISA’ya göre.
Bu, uygulamanın veritabanındaki seçili kullanıcılar için potansiyel olarak uzaktaki düşmanlara sınırsız erişim sağlayan sabit kodlanmış parolalar durumu olan CVE-2022-45444’ü (CVSS puanı: 10.0) içerir.
Ayrıca iki komut enjeksiyon kusuru (CVE-2022-47911 ve CVE-2022-43483, CVSS puanları: 9.1) ve sınır dışı yazma güvenlik açığı (CVE-2022-41989, CVSS puanı: 9.1) dikkat çekicidir. hizmet reddi koşulu veya kod yürütme.
Güvenlik açıkları, 2.6.2 sürümü dahil olmak üzere RTLS Studio sürüm 2.0.0’ı etkiler. Kullanıcıların 3.0.0 veya sonraki bir sürüme güncelleme yapmaları önerilir.
CISA, ikinci bir uyarıda InHand Networks InRouter 302 ve InRouter 615’te CVE-2023-22600 (CVSS puanı: 10.0) dahil olmak üzere komut enjeksiyonuna, bilgilerin ifşasına ve kod yürütmeye yol açabilecek beş güvenlik kusurunu vurguladı.
Ajans, “Düzgün bir şekilde zincirlenirse, bu güvenlik açıkları, yetkisiz bir uzak kullanıcının bulut tarafından erişilebilen her bulut tarafından yönetilen InHand Networks cihazını tamamen tehlikeye atmasına neden olabilir” dedi.
InRouter 302’nin IR302 V3.5.56’dan önceki ve InRouter 615’ten önceki InRouter6XX-S-V2.3.0.r5542’den önceki tüm üretici yazılımı sürümleri hatalara açıktır.
Sauter Controls Nova 220, Nova 230, Nova 106 ve moduNet300’de, hassas bilgilere (CVE-2023-0053, CVSS puanı: 7.5) ve uzaktan kod yürütmeye (CVE-2023-0052) yetkisiz görünürlük sağlayabilecek güvenlik açıkları da ifşa edilmiştir. , CVSS puanı: 9.8).
Ancak İsviçre merkezli otomasyon şirketi, ürün hattının artık desteklenmemesi nedeniyle belirlenen sorunlar için düzeltmeler yayınlamayı planlamıyor.
Son olarak güvenlik kurumu, Siemens Mendix SAML ekipmanında (CVE-2022-46823, CVSS puanı: 9.3) bir siteler arası betik çalıştırma (XSS) kusurunun ayrıntılarını verdi ve bu, bir tehdit aktörünün kullanıcıları kandırarak özel hazırlanmış bir bağlantı.
Kullanıcılara, potansiyel riskleri azaltmak için çok faktörlü kimlik doğrulamayı etkinleştirmeleri ve Mendix SAML’yi 2.3.4 (Mendix 8), 3.3.8 (Mendix 9, Upgrade Track) veya 3.3.9 (Mendix 9, New Track) sürümlerine güncellemeleri önerilir.