CISA发出3个工业控制系统软件中的严重漏洞警告

CISA 于 2022 年 11 月 3 日发布了三 (3) 个工业控制系统 (ICS) 公告。这些公告提供了有关当前安全问题、漏洞和 ICS 漏洞利用的及时信息。

CISA 鼓励用户和管理员查看新发布的 ICS 公告以了解技术细节和缓解措施：

• ICSA-22-307-01  ETIC RAS 
• ICSA-22-307-02 诺基亚 ASIK 5G AirScale 系统模块 
• ICSA-22-307-03 台达工业自动化 DIALink 

美国网络安全和基础设施安全局 (CISA) 就ETIC Telecom、诺基亚和 Delta Industrial Automation 的软件中的多个漏洞发布了三份工业控制系统 (ICS) 公告。

其中最突出的是影响 ETIC Telecom 远程访问服务器 (RAS) 的三个缺陷，这些缺陷“可能允许攻击者获取敏感信息并破坏易受攻击的设备和其他连接的机器，”CISA 说。

这包括 CVE-2022-3703（CVSS 评分：9.0），这是一个严重的缺陷，源于 RAS 门户网站无法验证固件的真实性，从而有可能滑入授予对手后门访问权限的恶意程序包。

另外两个漏洞与 RAS API 中的目录遍历错误（CVE-2022-41607，CVSS 分数：8.6）和文件上传问题（CVE-2022-40981，CVSS 分数：8.3）有关，可被利用来读取任意文件并上传可能危及设备的恶意文件。

以色列工业网络安全公司 OTORIO 因发现和报告漏洞而受到赞誉。ETIC Telecom RAS 4.5.0 及之前的所有版本都存在漏洞，这家法国公司在 4.7.3 版本中解决了这些问题。

CISA 的第二个公告涉及诺基亚 ASIK AirScale 5G 通用系统模块中的三个缺陷（CVE-2022-2482、CVE-2022-2483 和 CVE-2022-2484），这可能为任意代码执行和安全中断铺平道路启动功能。所有缺陷在 CVSS 严重程度等级上都被评为 8.4。

“成功利用这些漏洞可能导致执行恶意内核、运行任意恶意程序或运行修改后的诺基亚程序，”CISA 指出。据说这家芬兰电信巨头已经针对影响 ASIK 版本 474021A.101 和 ASIK 474021A.102 的漏洞发布了缓解说明。该机构建议用户直接联系诺基亚以获取更多信息。

最后，网络安全机构还警告说存在路径遍历漏洞（CVE-2022-2969，CVSS 评分：8.1），该漏洞会影响 Delta Industrial Automation 的 DIALink 产品，并可用于在目标设备上植入恶意代码。

该缺陷已在 1.5.0.0 Beta 4 版本中得到解决，CISA 表示可以通过直接联系台达工业自动化或通过台达现场应用工程 (FAE) 获得该缺陷。

原文始发于微信公众号（祺印说信安）：CISA发出3个工业控制系统软件中的严重漏洞警告