Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) tuần này đã đưa ra cảnh báo tư vấn về Hệ thống Kiểm soát Công nghiệp (ICS) về nhiều lỗ hổng trong phần mềm kỹ thuật Mitsubishi Electric GX Works3.
"Việc khai thác thành công các lỗ hổng này có thể cho phép người dùng trái phép truy cập vào các mô-đun CPU dòng MELSEC iQ-R / F / L và mô-đun máy chủ OPC UA dòng MELSEC iQ-R hoặc để xem và thực thi các chương trình".
GX Works3 là một phần mềm máy trạm kỹ thuật được sử dụng trong môi trường ICS, hoạt động như một cơ chế để tải lên và tải xuống các chương trình từ / đến bộ điều khiển, khắc phục sự cố phần mềm và phần cứng cũng như thực hiện các hoạt động bảo trì.
Một loạt các chức năng cũng làm cho nền tảng này trở thành một mục tiêu hấp dẫn cho các tác nhân đe dọa đang tìm cách thỏa hiệp các hệ thống như vậy để trưng dụng các PLC được quản lý.
Ba trong số 10 thiếu sót liên quan đến việc lưu trữ rõ ràng dữ liệu nhạy cảm, bốn thiếu sót liên quan đến việc sử dụng khóa mật mã hóa cứng, hai liên quan đến việc sử dụng mật khẩu được mã hóa cứng và một liên quan đến trường hợp thông tin đăng nhập được bảo vệ không đầy đủ.
Các lỗi quan trọng nhất, CVE-2022-25164 và CVE-2022-29830, có điểm CVSS là 9.1 và có thể bị lạm dụng để có quyền truy cập vào mô-đun CPU và lấy thông tin về các tệp dự án mà không yêu cầu bất kỳ quyền nào.
Nozomi Networks, công ty đã phát hiện ra CVE-2022-29831 (điểm CVSS: 7.5), cho biết kẻ tấn công có quyền truy cập vào tệp dự án PLC an toàn có thể khai thác mật khẩu được mã hóa cứng để truy cập trực tiếp vào mô-đun CPU an toàn và có khả năng phá vỡ các quy trình công nghiệp.
"Phần mềm kỹ thuật đại diện cho một thành phần quan trọng trong chuỗi bảo mật của các bộ điều khiển công nghiệp," công ty cho biết. "Nếu bất kỳ lỗ hổng nào phát sinh trong đó, đối thủ có thể lạm dụng chúng để cuối cùng xâm phạm các thiết bị được quản lý và do đó, quy trình công nghiệp được giám sát."
Tiết lộ được đưa ra khi CISA tiết lộ chi tiết về lỗ hổng từ chối dịch vụ (DoS) trong Mitsubishi Electric MELSEC iQ-R Series bắt nguồn từ việc thiếu xác thực đầu vào thích hợp (CVE-2022-40265, điểm CVSS: 8.6).
"Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công từ xa unauthenticated gây ra một điều kiện từ chối dịch vụ trên một sản phẩm mục tiêu bằng cách gửi các gói đặc biệt crafted," CISA lưu ý.
Trong một diễn biến liên quan, cơ quan an ninh mạng đã vạch ra thêm ba vấn đề ảnh hưởng đến Bộ điều khiển nhỏ gọn từ xa (RCC) 972 từ Horner Automation, trong đó vấn đề quan trọng nhất (CVE-2022-2641, điểm CVSS: 9.8) có thể dẫn đến thực thi mã từ xa hoặc gây ra tình trạng DoS.