CISA发出3个工业控制系统软件中的严重漏洞警告

admin 2022年11月9日13:19:12安全新闻评论5 views1697字阅读5分39秒阅读模式

CISA 于 2022 年 11 月 3 日发布了三 (3) 个工业控制系统 (ICS) 公告。这些公告提供了有关当前安全问题、漏洞和 ICS 漏洞利用的及时信息。

CISA 鼓励用户和管理员查看新发布的 ICS 公告以了解技术细节和缓解措施:

• ICSA-22-307-01  ETIC RAS 
• ICSA-22-307-02 诺基亚 ASIK 5G AirScale 系统模块 
• ICSA-22-307-03 台达工业自动化 DIALink 

CISA发出3个工业控制系统软件中的严重漏洞警告

美国网络安全和基础设施安全局 (CISA) 就ETIC Telecom、诺基亚和 Delta Industrial Automation 的软件中的多个漏洞发布了三份工业控制系统 (ICS) 公告。

其中最突出的是影响 ETIC Telecom 远程访问服务器 (RAS) 的三个缺陷,这些缺陷“可能允许攻击者获取敏感信息并破坏易受攻击的设备和其他连接的机器,”CISA 说。

这包括 CVE-2022-3703(CVSS 评分:9.0),这是一个严重的缺陷,源于 RAS 门户网站无法验证固件的真实性,从而有可能滑入授予对手后门访问权限的恶意程序包。

另外两个漏洞与 RAS API 中的目录遍历错误(CVE-2022-41607,CVSS 分数:8.6)和文件上传问题(CVE-2022-40981,CVSS 分数:8.3)有关,可被利用来读取任意文件并上传可能危及设备的恶意文件。

以色列工业网络安全公司 OTORIO 因发现和报告漏洞而受到赞誉。ETIC Telecom RAS 4.5.0 及之前的所有版本都存在漏洞,这家法国公司在 4.7.3 版本中解决了这些问题。

CISA 的第二个公告涉及诺基亚 ASIK AirScale 5G 通用系统模块中的三个缺陷(CVE-2022-2482、CVE-2022-2483 和 CVE-2022-2484),这可能为任意代码执行和安全中断铺平道路启动功能。所有缺陷在 CVSS 严重程度等级上都被评为 8.4。

“成功利用这些漏洞可能导致执行恶意内核、运行任意恶意程序或运行修改后的诺基亚程序,”CISA 指出。据说这家芬兰电信巨头已经针对影响 ASIK 版本 474021A.101 和 ASIK 474021A.102 的漏洞发布了缓解说明。该机构建议用户直接联系诺基亚以获取更多信息。

最后,网络安全机构还警告说存在路径遍历漏洞(CVE-2022-2969,CVSS 评分:8.1),该漏洞会影响 Delta Industrial Automation 的 DIALink 产品,并可用于在目标设备上植入恶意代码。

该缺陷已在 1.5.0.0 Beta 4 版本中得到解决,CISA 表示可以通过直接联系台达工业自动化或通过台达现场应用工程 (FAE) 获得该缺陷。

一个敢于挑战美国权威的男人,英国法院拒绝美国要求对他的引渡
一起回看等级保护重要政策文件736号之等级保护检查工作规范
一起简单了解一下美国TCSEC分类及分级
一起揭穿网络安全的一些常见的神话!
一起揭穿网络安全的一些常见的神话!
一起揭穿网络安全的一些常见的神话!
一起看等保重要政策文件1360号文
一起看等保重要政策文件27号文
一起看等保重要政策文件43号文(上)
一起看等保重要政策文件43号文(上)
一起看等保重要政策文件43号文(下)
一起看等保重要政策文件66号文
一起看等保重要政策文件861号文
一起看等保重要政策文件861号文
一起看等保重要政策文件之2005年有关文件
一起看等保重要政策文件之2006年有关政策文件
一起看等级保护重要政策文件之1429号文
一起看等级保护重要政策文件之2008年有关文件(上)
一起看等级保护重要政策文件之2008年有关文件(下)
一起看等级保护重要政策文件之2008年有关文件(下)
一起看等级保护重要政策文件之2012人大常委会:关于加强网络信息保护的决定
一起看等级保护重要政策文件之发改高技【2012】1986号
一起看等级保护重要政策文件之公通字【2010】70号
一起看等级保护重要政策文件之公信安【2010】303号文
一起看等级保护重要政策文件之国发〔2012〕23号
一起看看21个网络安全最佳实践

原文始发于微信公众号(祺印说信安):CISA发出3个工业控制系统软件中的严重漏洞警告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月9日13:19:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  CISA发出3个工业控制系统软件中的严重漏洞警告 http://cn-sec.com/archives/1393418.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: