您所在的位置: 首頁(yè) >
新聞資訊 >
威脅情報(bào) >
CISA警告3個(gè)工控軟件系統(tǒng)存在嚴(yán)重漏洞
近日,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了三份工業(yè)控制系統(tǒng)(ICS)公告,涉及ETIC電信、諾基亞和Delta工業(yè)自動(dòng)化的軟件中的多個(gè)漏洞。其中最突出的是影響ETIC電信公司遠(yuǎn)程訪問(wèn)服務(wù)器(RAS)的一組三個(gè)缺陷,它 "可能允許攻擊者獲得敏感信息,并控制有漏洞的設(shè)備和其他連接的機(jī)器",CISA說(shuō)。
這包括CVE-2022-3703(CVSS評(píng)分:9.0),這是一個(gè)關(guān)鍵的缺陷,源于RAS網(wǎng)絡(luò)門戶無(wú)法驗(yàn)證固件的真實(shí)性,從而有可能塞進(jìn)一個(gè)流氓包,授予對(duì)手后門權(quán)限。
另外兩個(gè)缺陷與RAS API中的目錄穿越錯(cuò)誤(CVE-2022-41607,CVSS評(píng)分:8.6)和一個(gè)文件上傳問(wèn)題(CVE-2022-40981,CVSS評(píng)分:8.3)有關(guān),可被利用來(lái)讀取任意文件和上傳惡意文件,從而破壞設(shè)備。
以色列工業(yè)網(wǎng)絡(luò)安全公司OTORIO被認(rèn)為是發(fā)現(xiàn)和報(bào)告了這些缺陷。ETIC Telecom RAS 4.5.0及之前的所有版本都存在漏洞,法國(guó)公司在4.7.3版本中解決了這些問(wèn)題。
CISA的第二個(gè)公告涉及諾基亞ASIK AirScale 5G通用系統(tǒng)模塊的三個(gè)缺陷(CVE-2022-2482、CVE-2022-2483和CVE-2022-2484),這可能為任意代碼執(zhí)行和安全啟動(dòng)功能的停止鋪平道路。所有的缺陷在CVSS嚴(yán)重性等級(jí)中被評(píng)為8.4級(jí)。CISA指出,成功利用這些漏洞可能導(dǎo)致執(zhí)行惡意內(nèi)核,運(yùn)行任意的惡意程序,或運(yùn)行修改過(guò)的諾基亞程序。
據(jù)說(shuō)這家芬蘭電信巨頭已經(jīng)公布了影響ASIK 474021A.101和ASIK 474021A.102版本的缺陷的緩解說(shuō)明。該機(jī)構(gòu)建議用戶直接與諾基亞聯(lián)系,以獲得進(jìn)一步信息。
最后,該網(wǎng)絡(luò)安全機(jī)構(gòu)還警告說(shuō),一個(gè)路徑穿越漏洞(CVE-2022-2969,CVSS評(píng)分:8.1)影響了臺(tái)達(dá)工業(yè)自動(dòng)化公司的DIALink產(chǎn)品,可被利用來(lái)在目標(biāo)設(shè)備上植入惡意代碼。
該漏洞已在1.5.0.0 Beta 4版本中得到解決,CISA表示可以直接聯(lián)系臺(tái)達(dá)工業(yè)自動(dòng)化或通過(guò)臺(tái)達(dá)現(xiàn)場(chǎng)應(yīng)用工程(FAEs)獲得該版本。
來(lái)源:E安全