Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã công bố ba lời khuyên về Hệ thống Điều khiển Công nghiệp (ICS) về nhiều lỗ hổng trong phần mềm của ETIC Telecom, Nokia và Delta Industrial Automation.
Nổi bật trong số đó là một tập hợp ba lỗ hổng ảnh hưởng đến Máy chủ truy cập từ xa (RAS) của ETIC Telecom, "có thể cho phép kẻ tấn công lấy được thông tin nhạy cảm và xâm phạm thiết bị dễ bị tấn công và các máy được kết nối khác", CISA cho biết.
Điều này bao gồm CVE-2022-3703 (điểm CVSS: 9.0), một lỗ hổng nghiêm trọng bắt nguồn từ việc cổng thông tin web RAS không thể xác minh tính xác thực của phần sụn, do đó có thể trượt trong một gói giả mạo cấp quyền truy cập cửa hậu cho kẻ thù.
Hai lỗ hổng khác liên quan đến lỗi truyền thư mục trong RAS API (CVE-2022-41607, điểm CVSS: 8.6) và vấn đề tải lên tệp (CVE-2022-40981, điểm CVSS: 8.3) có thể được khai thác để đọc các tệp tùy ý và tải lên các tệp độc hại có thể xâm phạm thiết bị.
Công ty an ninh mạng công nghiệp OTORIO của Israel đã được ghi nhận là người đã phát hiện và báo cáo những sai sót. Tất cả các phiên bản của ETIC Telecom RAS 4.5.0 trở về trước đều dễ bị tổn thương, với các vấn đề được công ty Pháp giải quyết trong phiên bản 4.7.3.
Lời khuyên thứ hai từ CISA liên quan đến ba lỗ hổng trong Mô-đun hệ thống chung ASIK AirScale 5G của Nokia (CVE-2022-2482, CVE-2022-2483 và CVE-2022-2484), có thể mở đường cho việc thực thi mã tùy ý và ngừng chức năng khởi động an toàn. Tất cả các sai sót được đánh giá 8.4 trên thang đo mức độ nghiêm trọng của CVSS.
"Việc khai thác thành công các lỗ hổng này có thể dẫn đến việc thực thi một hạt nhân độc hại, chạy các chương trình độc hại tùy ý hoặc chạy các chương trình Nokia đã sửa đổi", CISA lưu ý.
Gã khổng lồ viễn thông Phần Lan được cho là đã công bố hướng dẫn giảm thiểu cho các sai sót ảnh hưởng đến ASIK phiên bản 474021A.101 và ASIK 474021A.102. Cơ quan này khuyến cáo người dùng nên liên hệ trực tiếp với Nokia để biết thêm thông tin.
Cuối cùng, cơ quan an ninh mạng cũng đã cảnh báo về một lỗ hổng đi qua đường dẫn (CVE-2022-2969, điểm CVSS: 8.1) ảnh hưởng đến các sản phẩm DIALink của Delta Industrial Automation và có thể được tận dụng để trồng mã độc trên các thiết bị được nhắm mục tiêu.
Thiếu sót đã được giải quyết trong phiên bản 1.5.0.0 Beta 4, mà CISA cho biết có thể đạt được bằng cách liên hệ trực tiếp với Delta Industrial Automation hoặc thông qua kỹ thuật ứng dụng hiện trường Delta (FAEs).