Wago-ի և Schneider Electric-ի (OT) արտադրանքներում անվտանգության երեք խոցելիություն է հայտնաբերվել:
Ըստ Forescout-ի, բոլոր առկա խոցելիությունները միասին ստացել են OT:ICEFALL անվանումը, որն այժմ ներառում է ընդհանուր թվով՝ 61 խնդիր:
«OT:ICEFALL-ը ցույց է տալիս OT սարքերի անվտանգ նախագծման, թարմացումների և փորձարկման հետ կապված գործընթացների բարելավման անհրաժեշտությունը», – նշել է ընկերությունը՝ The Hacker News-ին տրամադրած հարցազրույցում:
Խոցելիություններից ամենաառանցքայինը CVE-2022-46680 -ն է (միավորը` 8.8), որը վերաբերում է Schneider Electric-ից էլեկտրաէներգիայի հաշվիչների կողմից օգտագործվող ION/TCP protocol-ներին:
Վրիպակի հաջող շահագործումը հաքերներին կարող է հնարավորություն տալ վերահսկողություն ձեռք բերել խոցելի սարքերի վրա: Հարկ է նշել, որ CVE-2022-46680-ը այն 56 խոցելիություններից մեկն է, որը հայտնաբերվել է Forescout-ի կողմից դեռևս 2022 թվականին:
Անվտանգության մյուս երկու խոցելիությունները՝ CVE-2023-1619 և CVE-2023-1620-ը / 4.9 միավորով / վերաբերում են DoS սխալներին, որոնք ազդում են WAGO 750 controller-ների վրա: Դրանք կարող են ակտիվացվել վավերացված հաքերի կողմից՝ ուղարկելով որոշակի փաթեթներ logged out լինելուց հետո:
Եզրափակելով OT:ICEFALL հետազոտությունը՝ Forescout-ը նշում է, որ վաճառողներին դեռևս բացակայում է անվտանգ նախագծման պրակտիկան, և որ նրանք թողարկում են թերի շտկումներ՝ դրանով չպահպանելով անվտանգության համապատասխան ընթացակարգերը:
Աղբյուրը՝ https://thehackernews.com/
