Японская компания Omron недавно выпустила исправления для уязвимостей в программируемом логическом контроллере (ПЛК, PLC) и инженерном программном обеспечении, обнаруженных компанией по кибербезопасности Dragos во время анализа сложного вредоносного ПО.
В прошлом году американское агентство по кибербезопасности CISA предупредило организации о трех уязвимостях , затрагивающих контроллеры Omron серий NJ и NX. Dragos сообщила, что одна из этих уязвимостей – критическая проблема CVE-2022-34151, связанная с жёстко запрограммированными учетными данными, использовалась для доступа к PLC Omron и стала целью атак на систему промышленного управления (ICS) под названием Pipedream (Incontroller).
Dragos определила, что один из компонентов вредоносного ПО Pipedream, BadOmen, использовал CVE-2022-34151 для взаимодействия с HTTP-сервером на целевых контроллерах Omron NX/NJ. BadOmen может использоваться для манипуляций и вызова сбоев в процессах.
Во время исследования вредоносного ПО BadOmen Dragos обнаружила дополнительные уязвимости в продуктах Omron. CISA и Omron выпустили рекомендации, информируя организации о новых уязвимостях и доступности исправлений.
В Dragos сообщили изданию SecurityWeek, что уязвимости не использовались вредоносным ПО, и нет доказательств их эксплуатации. CISA и Omron опубликовали три отдельные рекомендации.
- Одна из них описывает уязвимость высокого уровня опасности CVE-2022-45790 (CVSS: 7.5) в PLC Omron серий CJ/CS/CP, использующих протокол FINS, подверженный атакам методом перебора (брутфорс).
- Две другие рекомендации описывают уязвимости в программном обеспечении Omron: CVE-2022-45793(CVSS: 5.5) и CVE-2018-1002205(CVSS: 5.5).
Отметим, что агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило восемь новых пунктов в свой каталог известных эксплуатируемых уязвимостей . Решение о добавлении было принято на основании данных об активной эксплуатации этих уязвимостей злоумышленниками.
Министерство национальной безопасности США (DHS) предложило упростить правила федеральной отчётности о киберинцидентах для пострадавших организаций, в том числе путём создания единого веб-портала для таких отчётов.