ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Siemens, GE Digital ve Contec ürünlerini etkileyen çeşitli güvenlik açıklarına dikkat çeken dört Endüstriyel Kontrol Sistemleri (ICS) tavsiyesi yayınladı.
Siemens SINEC INS’de, yol geçiş kusuru (CVE-2022-45092, CVSS puanı: 9.9) ve komut enjeksiyonu (CVE-2022-2068, CVSS puanı: 9.8).
Ayrıca Siemens tarafından yamalanmış olan, llhttp ayrıştırıcısındaki (CVE-2022-35256, CVSS puanı: 9.8) bir kimlik doğrulama atlama güvenlik açığı ve OpenSSL kitaplığında (CVE-2022-2274, CVSS puanı: 9.8) sınırların dışında yazma hatasıdır. ) uzaktan kod yürütmeyi tetiklemek için kullanılabilir.
Alman otomasyon şirketi, kusurları azaltmak için Aralık 2022’de Service Pack 2 Update 1 yazılımını yayınladı.
Ayrı olarak, GE Digital’in Proficy Historian çözümünde, kimlik doğrulama durumundan bağımsız olarak kod yürütülmesine neden olabilecek kritik bir kusur da ortaya çıktı. CVE-2022-46732 (CVSS puanı: 9.8) olarak izlenen sorun, Proficy Historian 7.0 ve sonraki sürümleri etkiliyor ve Proficy Historian 2023’te düzeltildi.
Endüstriyel güvenlik şirketi Claroty’de güvenlik araştırmacısı olan Uri Katz, “Bir saldırgan bu gerçeği kullanabilir ve yerel bir hizmeti taklit ederek tarihçi kimlik doğrulamasını atlayabilir.” Dedi. “Bu, uzaktaki saldırganların herhangi bir GE Proficy Historian sunucusunda oturum açma ve onu yetkisiz eylemler gerçekleştirmeye zorlama olanağı sağlıyor.”
CISA ayrıca, Contec CONPROSYS HMI Sisteminde (CVE-2022-44456, CVSS skoru: 10.0) kritik bir komut enjeksiyon güvenlik açığını detaylandırarak geçen ay yayınlanan bir ICS danışma belgesini güncelleyerek, uzaktaki bir saldırganın rastgele komutları yürütmek için özel hazırlanmış istekler göndermesine izin verebilir. .
Bu eksiklik Contec tarafından 3.4.5 sürümünde yamalanmış olsa da, yazılımın o zamandan beri bilgilerin ifşasına ve yetkisiz erişime yol açabilecek dört ek kusura karşı savunmasız olduğu bulundu.
CONPROSYS HMI Sistemi kullanıcılarının, ağ maruziyetini en aza indirmek ve bu tür cihazları iş ağlarından izole etmek için adımlar atmanın yanı sıra 3.5.0 veya sonraki bir sürüme güncelleme yapmaları önerilir.
Öneriler, CISA’nın Sewio, InHand Networks, Sauter Controls ve Siemens yazılımlarını etkileyen kritik kusurlara ilişkin bu tür 12 uyarıyı yayınlamasından bir haftadan kısa bir süre sonra geldi.