أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثمانية تحذيرات لأنظمة التحكم الصناعي (ICS) يوم الثلاثاء ، محذرة من عيوب خطيرة تؤثر على المعدات من دلتا للإلكترونيات وروكويل أوتوميشن.
يتضمن ذلك 13 ثغرة أمنية في InfraSuite Device Master من Delta Electronics ، وهو برنامج لمراقبة الأجهزة في الوقت الفعلي. تتأثر جميع الإصدارات السابقة للإصدار 1.0.5 بالمشكلات.
وقالت CISA: "الاستغلال الناجح لهذه الثغرات الأمنية قد يسمح لمهاجم غير مصدق بالوصول إلى الملفات وبيانات الاعتماد ، وتصعيد الامتيازات ، وتنفيذ تعليمات برمجية عشوائية عن بُعد" .
أعلى القائمة هو CVE-2023-1133 (درجة CVSS: 9.8) ، وهو عيب فادح ينشأ من حقيقة أن InfraSuite Device Master يقبل حزم UDP التي لم يتم التحقق منها ويقوم بإلغاء تسلسل المحتوى ، مما يسمح لمهاجم بعيد غير مصادق بتنفيذ تعليمات برمجية عشوائية.
حذرت CISA من وجود عيبين آخرين في إلغاء التسلسل ، CVE-2023-1139 (درجة CVSS: 8.8) و CVE-2023-1145 (درجة CVSS: 7.8) ، يمكن أيضًا استخدامهما كسلاح للحصول على تنفيذ التعليمات البرمجية عن بُعد.
نُسب الفضل إلى Piotr Bazydlo وباحث أمني مجهول في اكتشاف أوجه القصور والإبلاغ عنها إلى CISA.
مجموعة أخرى من الثغرات الأمنية تتعلق بـ ThinManager ThinServer من Rockwell Automation وتؤثر على الإصدارات التالية من برنامج إدارة خادم العميل الرقيق وبروتوكول سطح المكتب البعيد (RDP) -
- 6.x - 10.x
- 11.0.0 - 11.0.5
- 11.1.0 - 11.1.5
- 11.2.0 - 11.2.6
- 12.0.0 - 12.0.4
- 12.1.0 - 12.1.5 و
- 13.0.0 - 13.0.1
تتمثل أخطر المشكلات في خطأين في اجتياز المسار تم تتبعهما كـ CVE-2023-28755 (درجة CVSS: 9.8) و CVE-2023-28756 (درجة CVSS: 7.5) والتي قد تسمح لمهاجم بعيد غير مصادق بتحميل ملفات عشوائية إلى الدليل حيث تم تثبيت ThinServer.exe.
والأمر الأكثر إثارة للقلق هو أن الخصم يمكن أن يستخدم CVE-2023-28755 كسلاح لاستبدال الملفات القابلة للتنفيذ الحالية بإصدارات ذات أحصنة طروادة ، مما قد يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد.
وأشار CISA إلى أن "الاستغلال الناجح لهذه الثغرات الأمنية قد يسمح للمهاجم بتنفيذ تعليمات برمجية عن بُعد على النظام / الجهاز المستهدف أو تعطل البرنامج" .
يُنصح المستخدمون بالتحديث إلى الإصدارات 11.0.6 و 11.1.6 و 11.2.7 و 12.0.5 و 12.1.6 و 13.0.2 للتخفيف من التهديدات المحتملة. تم إيقاف إصدار ThinManager ThinServer 6.x - 10.x ، مما يتطلب قيام المستخدمين بالترقية إلى إصدار مدعوم.
كحل بديل ، يوصى أيضًا بأن يقتصر الوصول عن بُعد للمنفذ 2031 / TCP على العملاء الرقيقين المعروفين وخوادم ThinManager.
يصل الكشف بعد أكثر من ستة أشهر من تنبيه CISA بوجود ثغرة أمنية عالية في تجاوز سعة المخزن المؤقت في Rockwell Automation ThinManager ThinServer ( CVE-2022-38742 ، درجة CVSS: 8.1) والتي قد تؤدي إلى تنفيذ تعليمات برمجية عن بعد عشوائية.