.
Esta semana, a Agência de Segurança Cibernética e Infraestrutura (CISA) do governo dos EUA expandiu sua lista cada vez maior de vulnerabilidades em sistemas de controle industrial (ICS) e tecnologia de infraestrutura crítica.
Os avisos mais recentes sinalizam falhas graves nos produtos da Advantech e da Hitachi Energy, que atendem aos mercados de consumo e comercial.
Os avisos duplos incluem alertas sobre falhas de segurança no R-SeeNet da Advantech que podem ser exploradas por invasores remotos para assumir o controle deste software de monitoramento de roteador de rede industrial ou para excluir arquivos PDF do sistema.
Duas das vulnerabilidades – rastreadas como CVE-2022-3386 e CVE-2022-3385, com pontuações de gravidade de 9,8 em 10 – envolvem falhas de estouro de buffer baseado em pilha na versão 2.4.17 e anteriores do software R-SeeNet, de acordo com para a agência. Ambas as vulnerabilidades permitiriam que “um invasor não autorizado [to] use um nome de arquivo desproporcional para estourar o buffer da pilha e permitir a execução remota de código”, afirmou o comunicado.
O terceiro bug é uma falha transversal que afeta a versão 2.4.19 do software que permitiria a um invasor explorar código PHP vulnerável para excluir arquivos PDF.
Os aparelhos que executam o software R-SeeNet são usados em setores industriais como manufatura, energia, água e águas residuais, de acordo com a CISA.
A Advantech recomenda que as organizações atualizem seu software R-SeeNet para a versão 2.4.21 ou posterior, enquanto a CISA aconselha que minimizem a exposição dos aparelhos – como acontece com todos os dispositivos do sistema de controle – à Internet pública. As redes do sistema de controle local e os dispositivos remotos devem ser alojados atrás de firewalls e isolados das redes comerciais. Se o acesso remoto for necessário, as organizações devem usar VPNs e outros controles de segurança.
o consultivo em relação aos dispositivos Transformer Asset Performance Management (APM) Edge da Hitachi Energy é uma atualização de um alerta emitido em 2 de dezembro de 2021 sobre 29 falhas que afetam as versões 1.0, 2.0 e 3.0. O software local é usado para gerenciar transformadores elétricos.
“A Hitachi Energy está ciente dos relatórios públicos desta vulnerabilidade nos seguintes componentes de software de código aberto: OpenSSL, LibSSL, libxml2 e GRUB2 bootloader”, escreveu a CISA em seu alerta. “A vulnerabilidade também afeta alguns produtos APM Edge. Um invasor que explorar com sucesso essa vulnerabilidade pode tornar o produto inacessível.”
O fabricante aconselha as organizações a atualizarem para a versão 4.0, que inclui atualizações para os componentes vulneráveis que corrigem o problema. A Hitachi Energy também oferece um mergulho mais profundo nas falhas e remediação.
O CISA tem falado sobre a ameaças cibernéticas para ICS e outros equipamentos críticos. Ele alertou que as equipes cibernéticas estão mirando nesses ambientes, como ilustrado pelos ataques no ano passado à Colonial Pipeline e à JBS Foods.
CISA e outros órgãos federais dos EUA – incluindo o FBI, o Departamento de Energia e a NSA – avisou em abril, os bisbilhoteiros estavam criando ferramentas personalizadas especificamente para obter o controle de dispositivos ICS e de controle de supervisão e aquisição de dados (SCADA).
Os alertas sobre Advantech e Hitachi Energy chegam uma semana depois que a CISA emitiu alertas sobre vulnerabilidades em 25 produtos ICS da Siemens, Hitachi e Mitsubishi Electric, e um mês depois de alertas semelhantes sobre oito desses sistemas.
Tantos vulns
Em um relatório No início deste ano, a SynSaber, uma empresa de segurança cibernética e monitoramento de ativos de tecnologia operacional (OT), disse que no primeiro semestre de 2022, a CISA reconheceu 681 bugs de segurança atribuídos ao CVE. A empresa dividiu os CVEs em várias categorias – desde aqueles que podem ser corrigidos com software até aqueles que não podem ser corrigidos sem alterar protocolos ou substituir sistemas.
Ele descobriu que não havia patches ou correções disponíveis para 13% das vulnerabilidades e outros 34% exigiam atualizações de firmware. Ele alertou que 40,7% das falhas eram urgentes e deveriam ser priorizadas. Outros 50,7% exigiam correções mais complexas – como atualizações de firmware que abordam um grande número de dispositivos em campo – mas ainda exigiam atenção urgente.
“Não se pode simplesmente corrigir uma vulnerabilidade de protocolo ou atualizar um ambiente SCADA inteiro”, escreveram os autores do relatório. “As organizações podem estar lidando com esses CVEs por um longo tempo, e outros controles compensatórios provavelmente serão necessários”.
“Não é provável que o volume de CVEs relatados via CISA ICS Advisories e outras entidades diminua. É importante que os proprietários de ativos e aqueles que defendem a infraestrutura crítica entendam quando as remediações estão disponíveis e como essas remediações devem ser implementadas e priorizadas”, acrescentaram. ®
.
