CISA-ն զգուշացնում է ICS-ի կարևոր վրիպակների մասին

ԱՄՆ-ի CISA-ն հրապարակել է արդյունաբերական կառավարման համակարգերի (ICS) ութ պարբերականներ՝ նախազգուշացնելով Hitachi Energy-ի, mySCADA Technologies-ի, Industrial Control Links-ի և Nexx-ի վրա ազդող կարևոր բացերի մասին:

Ցուցակը գլխավորում է CVE-2022-3682-ը, որն ազդում է Hitachi Energy-ի MicroSCADA System Data Manager SDM600-ի վրա: Այն հաքերին հնարավորություն է տալիս հեռակառավարել սարքավորումը:

Սխալը գալիս է file permission validation-ի հետ կապված խնդրից՝ դրանով իսկ թույլատրելով մշակված հաղորդագրությունը բեռնել համակարգ:

«Այս խոցելիության հաջող շահագործումը վավերացված օգտատիրոջը թույլ է տալիս կամայական օպերացիոն համակարգի հրամաններ ներմուծել», – զգուշացնում է CISA-ն և կոչ է անում օգտատերերին թարմացնել 8.29.0 և դրանից բարձր տարբերակները:

Եվս մեկ կարևոր վրիպակ է բացահայտվել Industrial Control Links ScadaFlex II SCADA Controllers-ում (CVE-2022-25359), որը հաքերին թույլ է տալիս վերագրել, ջնջել կամ ստեղծել նոր ֆայլեր:

Վնասված են Nexx խելացի սարքերի հետևյալ տարբերակները՝

• Nexx Garage Door Controller (NXG-100B, NXG-200) – nxg200v-p3-4-1 տարբերակը
• Nexx Smart Plug (NXPG-100W) – nxpg100cv4-0-0 տարբերակը
• Nexx Smart Alarm (NXAL-100) –  nxal100v-p1-9-1 տարբերակը

«Նկարագրված խոցելիությունը հաքերին իհարկե թույլ կտա համակաարգից գաղտնի տեղեկատվություն կորզել և կատարել հավելվածի ինտերֆեյսային (API) հարցումներ», – նշվում է CISA-ի կողմից:

 

Աղբյուրը՝ https://thehackernews.com/