查看原文
其他

CISA:注意这三个工控系统软件中的严重漏洞

Ravie Lakshmanan 代码卫士 2022-12-13

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


美国网络安全和基础设施安全局 (CISA) 发布三分工控系统安全公告,提到ETIC 电信、诺基亚和Delta Industrial Automation中存在多个漏洞。


其中最引人注目的是ETIC电信公司的远程访问服务器 (RAS) 受三个漏洞影响,“可导致攻击者获取敏感信息,攻陷易受攻击设备和其它联网机器”。这些漏洞是:

  • CVE-2022-3703(CVSS评分9.0):该严重漏洞因RAS 网络门户无法验证固件的真实性引发,使恶意包可能被攻击者插入,从而获得后门访问权限。

  • CVE-2022-41607(CVSS 评分8.6):该严重漏洞是位于RAS API 中的一个目录遍历漏洞。

  • CVE-2022-40981(CVSS评分8.3):该漏洞可被用于读取任意文件和上传恶意文件,从而攻陷设备。

以色列工业网络安全公司 OTORIO 发现并报告了这些漏洞。所有ETIC 电信RAS 4.5.0和之前版本均受影响。该漏洞已在版本4.7.3中修复。

第二份安全公告关于诺基亚ASIK AirScale 5G Common System Module 中的三个漏洞(CVE-2022-2482、CVE-2022-2483和CVE-2022-2484),可导致任意代码执行和安全引导程序功能不当。所有漏洞的CVSS评分均为8.4。CISA提到,“这些漏洞如遭利用,可导致恶意内核执行、任意恶意程序运行或者遭修改的诺基亚程序运行”。据报道,诺基亚已发布缓解措施。这些漏洞影响 ASIK 版本474021A.101和ASIK47402A.102。CISA建议用户直接联系厂商获取更多信息。

第三份报告和路径遍历漏洞CVE-2022-2969有关,CVSS评分6.9,影响 Delta Industrial Automation 公司的 DIALink 产品,可被用于在目标设备上植入恶意代码。该漏洞已在 1.5.0.0 Beta 4中修复。CISA表示可直接通过厂商获取或者通过Delta现场应用工程 (FAEs)获取。




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读
CISA:注意影响Advantech 和日立工业设备的多个严重漏洞
CISA要求联邦机构定期追踪网络资产和漏洞情况
研究员披露影响10家OT厂商工控设备的56个漏洞OT:ICEFALL
工控2月补丁星期二:西门子、施耐德电气修复近50个漏洞
很多工控产品都在用的 CODESYS 软件中被曝10个严重漏洞



原文链接

https://thehackernews.com/2022/11/cisa-warns-of-critical-vulnerabilities.html


题图:Pixabay License‍



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存