Агентство CISA опубликовало 8 рекомендаций [ 7 , 1 ] по промышленным системам управления (ICS), предупреждающих о критических недостатках в продуктах Hitachi Energy, mySCADA Technologies, Industrial Control Links и Nexx.
Возглавляет список CVE-2022-3682 (CVSS: 9,9), затрагивающая MicroSCADA System Data Manager SDM600 компании Hitachi Energy, которая может позволить злоумышленнику получить удаленный контроль над продуктом.
Уязвимость возникает из-за проблемы с проверкой прав доступа к файлам, что позволяет киберпреступнику загружать специально созданное сообщение в систему, которое приводит к выполнению произвольного кода. Hitachi Energy выпустила обновление SDM600 1.3.0.1339, чтобы устранить проблему для версий SDM600 до версии 1.2 FP3 HF4 (номер сборки 1.2.23000.291).
В рекомендациях также описаны 5 критических уязвимостей внедрения команд – CVE-2023-28400 , CVE-2023-28716 , CVE-2023-28384 , CVE-2023-29169 и CVE-2023-29150 (CVSS: 9,9) в mySCADA myPRO версии 8.26.0 и более ранних.
Успешная эксплуатация ошибок может позволить аутентифицированному злоумышленнику вводить произвольные команды операционной системы”, – предупредило CISA, призвав пользователей обновиться до версии 8.29.0 или выше.
В контроллерах Industrial Control Links ScadaFlex II SCADA также обнаружена критическая ошибка безопасности CVE-2022-25359 (CVSS: 9.1), которая может позволить хакеру, прошедшему проверку подлинности, перезаписывать, удалять или создавать файлы.
При этом Industrial Control Links сообщила, что закрывает свой бизнес. Этот продукт может считаться устаревшим; дальнейшая поддержка этого продукта может быть недоступна. Пользователям рекомендуется свести к минимуму воздействие на сеть, изолировать сети системы управления от бизнес-сетей и поместить их за брандмауэрами для устранения потенциальных рисков.
Завершают список 5 недостатков, в том числе одна критическая ошибка CVE-2023-1748(CVSS: 9,3), влияющая на контроллеры гаражных ворот, интеллектуальные розетки и интеллектуальные сигнализации компании Nexx .
По словам, исследователя безопасности Сэма Сабетана, который обнаружил уязвимости в умных контроллерах для открывания гаражей Nexx, недостатки позволяют удалённо находить нужные гаражи, а затем открывать их через Интернет, а также завладеть интеллектуальными розетками и получить удаленный контроль над смарт-сигнализациями.
Затрагиваются следующие версии устройств умного дома Nexx –
- Контроллер гаражных ворот Nexx (NXG-100B, NXG-200) – версия nxg200v-p3-4-1 и более ранние;
- Умная розетка Nexx (NXPG-100W) – версия nxpg100cv4-0-0 и более ранние;
- Интеллектуальная сигнализация Nexx (NXAL-100) – версия nxal100v-p1-9-1 и более ранние.
Согласно сообщению CISA, успешная эксплуатация уязвимостей может позволить злоумышленнику получить конфиденциальную информацию, выполнить API-запросы или захватить устройства.