您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
CISA警告3個工控軟件系統(tǒng)存在嚴(yán)重漏洞

近日,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了三份工業(yè)控制系統(tǒng)(ICS)公告,涉及ETIC電信、諾基亞和Delta工業(yè)自動化的軟件中的多個漏洞。其中最突出的是影響ETIC電信公司遠(yuǎn)程訪問服務(wù)器(RAS)的一組三個缺陷,它 "可能允許攻擊者獲得敏感信息,并控制有漏洞的設(shè)備和其他連接的機(jī)器",CISA說。
這包括CVE-2022-3703(CVSS評分:9.0),這是一個關(guān)鍵的缺陷,源于RAS網(wǎng)絡(luò)門戶無法驗證固件的真實性,從而有可能塞進(jìn)一個流氓包,授予對手后門權(quán)限。
另外兩個缺陷與RAS API中的目錄穿越錯誤(CVE-2022-41607,CVSS評分:8.6)和一個文件上傳問題(CVE-2022-40981,CVSS評分:8.3)有關(guān),可被利用來讀取任意文件和上傳惡意文件,從而破壞設(shè)備。
以色列工業(yè)網(wǎng)絡(luò)安全公司OTORIO被認(rèn)為是發(fā)現(xiàn)和報告了這些缺陷。ETIC Telecom RAS 4.5.0及之前的所有版本都存在漏洞,法國公司在4.7.3版本中解決了這些問題。
CISA的第二個公告涉及諾基亞ASIK AirScale 5G通用系統(tǒng)模塊的三個缺陷(CVE-2022-2482、CVE-2022-2483和CVE-2022-2484),這可能為任意代碼執(zhí)行和安全啟動功能的停止鋪平道路。所有的缺陷在CVSS嚴(yán)重性等級中被評為8.4級。CISA指出,成功利用這些漏洞可能導(dǎo)致執(zhí)行惡意內(nèi)核,運行任意的惡意程序,或運行修改過的諾基亞程序。
據(jù)說這家芬蘭電信巨頭已經(jīng)公布了影響ASIK 474021A.101和ASIK 474021A.102版本的缺陷的緩解說明。該機(jī)構(gòu)建議用戶直接與諾基亞聯(lián)系,以獲得進(jìn)一步信息。
最后,該網(wǎng)絡(luò)安全機(jī)構(gòu)還警告說,一個路徑穿越漏洞(CVE-2022-2969,CVSS評分:8.1)影響了臺達(dá)工業(yè)自動化公司的DIALink產(chǎn)品,可被利用來在目標(biāo)設(shè)備上植入惡意代碼。
該漏洞已在1.5.0.0 Beta 4版本中得到解決,CISA表示可以直接聯(lián)系臺達(dá)工業(yè)自動化或通過臺達(dá)現(xiàn)場應(yīng)用工程(FAEs)獲得該版本。
來源:E安全