Siemens, Rockwell, Fuji Electric cảnh báo về các lỗ hổng bảo mật mà tin tặc có thể khai thác trong công nghiệp

Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) trong tuần này đã tiết lộ sự tồn tại của năm lỗ hổng bảo mật trong thiết bị Fuji Electric Tellus Lite V-Simulator và V-Server Lite. Cơ quan an ninh cũng báo cáo rằng tin tặc có thể khai thác sự hiện diện của các lỗ hổng được xác định trong Nền tảng Dịch vụ FactoryTalk Linx và FactoryTalk của Rockwell Automation. Các dòng sản phẩm này thường được triển khai trong lĩnh vực sản xuất quan trọng và có thể được khai thác bằng cách sử dụng trình độ kỹ năng thấp.

Siemens cũng cảnh báo người dùng của mình về sự hiện diện của lỗ hổng xác thực telnet trong SIMATIC HMI Comfort Panels được sử dụng để điều khiển và giám sát máy móc và nhà máy của người vận hành.

Các lỗ hổng bảo mật được tìm thấy trong thiết bị Fuji Electric bao gồm tràn bộ đệm dựa trên ngăn xếp, đọc ngoài giới hạn, ghi ngoài giới hạn, truy cập con trỏ chưa được khởi tạo và tràn bộ đệm dựa trên đống, CISA cho biết trong lời khuyên của mình trong tuần này. Các lỗ hổng bảo mật đã được tìm thấy trong các phiên bản Tellus Lite V-Simulator trước phiên bản v4.0.10.0 và V-Server Lite trước v4.0.10.0.

Các lỗ hổng Fuji Electric đã được báo cáo cho CISA bởi Kimiya, Khangkito - Trần Văn Khang của VinCSS (thành viên của Vingroup), và một nhà nghiên cứu ẩn danh, làm việc với Sáng kiến ​​Zero Day (ZDI) của Trend Micro.

Tháng 9 năm ngoái, ZDI đã công bố một cảnh báo tư vấn cho người dùng về sự hiện diện của lỗ hổng zero-day trong Tellus Lite V-Simulator 5 V8 của Fuji Electric. Lỗ hổng 'phân tích cú pháp tệp ngoài giới hạn đọc thực thi mã từ xa' cho phép tin tặc từ xa thực thi mã tùy ý trên các bản cài đặt bị ảnh hưởng của Fuji Electric Tellus Lite. Cần có sự tương tác của người dùng để khai thác lỗ hổng trong đó mục tiêu phải truy cập một trang độc hại hoặc mở một tệp độc hại, nó nói thêm.

CISA cũng cảnh báo người dùng về các lỗ hổng bảo mật được tìm thấy trong thiết bị của Rockwell Automation . Những lỗ hổng này bao gồm tràn bộ đệm cổ điển và việc kiểm tra hoặc xử lý không đúng các điều kiện ngoại lệ có trên phần mềm Rockwell's FactoryTalk Linx phiên bản 6.20 và trước đó và FactoryTalkServices Platform phiên bản 6.20 trở về trước. Tenable đã báo cáo các lỗ hổng này cho Rockwell Automation.

Một lỗ hổng bảo mật tràn bộ đệm tồn tại trong tệp .dll trong Nền tảng Dịch vụ FactoryTalk. Lỗ hổng này có thể bị khai thác thông qua một cuộc tấn công lừa đảo trong đó tin tặc gửi một tệp nhật ký được chế tạo đặc biệt cho người dùng cục bộ, CISA báo cáo . Khi người dùng cục bộ mở tệp nhật ký độc hại, nó có thể gây tràn bộ đệm trong Nền tảng dịch vụ FactoryTalk, dẫn đến các điều kiện từ chối dịch vụ tạm thời. Người dùng có thể khôi phục tình trạng này bằng cách mở lại phần mềm bị ảnh hưởng.

Rockwell khuyến nghị người dùng áp dụng các biện pháp giảm thiểu lỗ hổng dựa trên mạng cho các sản phẩm nhúng bằng cách sử dụng các biện pháp kiểm soát cơ sở hạ tầng mạng thích hợp, chẳng hạn như tường lửa, để giúp đảm bảo chặn lưu lượng truy cập từ các nguồn trái phép. Công ty cũng hướng dẫn người dùng tham khảo tài liệu sản phẩm để biết các tính năng cụ thể, chẳng hạn như cài đặt công tắc phím phần cứng, có thể được sử dụng để chặn các thay đổi trái phép.

Người dùng cũng có thể chặn tất cả lưu lượng truy cập đến EtherNet / IP hoặc các thiết bị dựa trên giao thức CIP khác từ bên ngoài khu vực sản xuất bằng cách chặn hoặc hạn chế quyền truy cập vào Cổng TCP và UDP 2222 và Cổng 44818 bằng cách sử dụng các điều khiển cơ sở hạ tầng mạng thích hợp, chẳng hạn như tường lửa, thiết bị UTM hoặc các thiết bị an ninh khác.

Vào tháng 11, ba lỗ hổng bảo mật quan trọng đã được xác định trong FactoryTalk Linx của Rockwell Automation và việc khai thác các điểm yếu này có thể cho phép điều kiện từ chối dịch vụ, thực thi mã từ xa hoặc rò rỉ thông tin có thể được sử dụng để bỏ qua ngẫu nhiên hóa bố cục không gian địa chỉ (ASLR) trong hệ thống điều khiển công nghiệp (ICS).

Theo báo cáo từ Siemens ProductCERT, Siemens đã phải đối mặt với các lỗ hổng trong các Bảng điều khiển HMI SIMATIC có thể cho phép tin tặc từ xa có quyền truy cập đầy đủ vào (các) thiết bị nếu dịch vụ telnet được kích hoạt . Các thiết bị bị ảnh hưởng có kích hoạt dịch vụ telnet không yêu cầu xác thực cho dịch vụ này, vì nó có thể cho phép kẻ tấn công từ xa có quyền truy cập đầy đủ vào thiết bị, theo tập đoàn của Đức. Nó khuyên người dùng nên tắt telnet trên bảng HMI nếu được bật, vì telnet mặc định đã bị tắt.

Tuần trước, Siemens thông báo rằng các nhà nghiên cứu bảo mật của họ đã phát hiện và tiết lộ bảy lỗ hổng được gọi là DNSpooq trong phần mềm mã nguồn mở thành phần DNS “DNSmasq”. Trong số ba lỗ hổng bảo mật này ảnh hưởng đến việc xác thực các phản hồi DNS và ảnh hưởng đến một số thiết bị SCALANCE và RUGGEDCOM của Siemens.

Để giảm thiểu rủi ro bảo mật, Siemens khuyên người dùng nên tắt cả hai bộ định tuyến công nghiệp này khỏi DNS proxy trong cấu hình thiết bị và định cấu hình các thiết bị được kết nối trong mạng nội bộ để sử dụng máy chủ DNS khác, vì proxy DNS được bật theo mặc định.

Theo : https://www.industrialcyber.co/threats-attacks/vulnerabilities/siemens-rockwell-fuji-electric-warn-of-security-vulnerabilities-that-hackers-could-exploit/?utm_campaign=meetedga