CISA:注意这三个工控系统软件中的严重漏洞
编译:代码卫士
美国网络安全和基础设施安全局 (CISA) 发布三分工控系统安全公告,提到ETIC 电信、诺基亚和Delta Industrial Automation中存在多个漏洞。
其中最引人注目的是ETIC电信公司的远程访问服务器 (RAS) 受三个漏洞影响,“可导致攻击者获取敏感信息,攻陷易受攻击设备和其它联网机器”。这些漏洞是:
CVE-2022-3703(CVSS评分9.0):该严重漏洞因RAS 网络门户无法验证固件的真实性引发,使恶意包可能被攻击者插入,从而获得后门访问权限。
CVE-2022-41607(CVSS 评分8.6):该严重漏洞是位于RAS API 中的一个目录遍历漏洞。
CVE-2022-40981(CVSS评分8.3):该漏洞可被用于读取任意文件和上传恶意文件,从而攻陷设备。
以色列工业网络安全公司 OTORIO 发现并报告了这些漏洞。所有ETIC 电信RAS 4.5.0和之前版本均受影响。该漏洞已在版本4.7.3中修复。
第二份安全公告关于诺基亚ASIK AirScale 5G Common System Module 中的三个漏洞(CVE-2022-2482、CVE-2022-2483和CVE-2022-2484),可导致任意代码执行和安全引导程序功能不当。所有漏洞的CVSS评分均为8.4。CISA提到,“这些漏洞如遭利用,可导致恶意内核执行、任意恶意程序运行或者遭修改的诺基亚程序运行”。据报道,诺基亚已发布缓解措施。这些漏洞影响 ASIK 版本474021A.101和ASIK47402A.102。CISA建议用户直接联系厂商获取更多信息。
第三份报告和路径遍历漏洞CVE-2022-2969有关,CVSS评分6.9,影响 Delta Industrial Automation 公司的 DIALink 产品,可被用于在目标设备上植入恶意代码。该漏洞已在 1.5.0.0 Beta 4中修复。CISA表示可直接通过厂商获取或者通过Delta现场应用工程 (FAEs)获取。
CISA要求联邦机构定期追踪网络资产和漏洞情况
研究员披露影响10家OT厂商工控设备的56个漏洞OT:ICEFALL
工控2月补丁星期二:西门子、施耐德电气修复近50个漏洞
很多工控产品都在用的 CODESYS 软件中被曝10个严重漏洞
https://thehackernews.com/2022/11/cisa-warns-of-critical-vulnerabilities.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。