CISA warnt vor mehreren kritischen Schwachstellen, die SPS von Mitsubishi Electric in Verbindung stehen zu

Die US-Behörde pro Cybersicherheit und Infrastruktursicherheit (CISA) hat selbige Woche eine Warnmeldung zu Industrial Control Systems (ICS) vor mehreren Schwachstellen in welcher Engineering-Software GX Works3 von Mitsubishi Electric veröffentlicht.

„Die erfolgreiche Verwendung dieser Sicherheitslücken könnte es unbefugten Benutzern geben, sich Zugriff hinauf die CPU-Module welcher MELSEC iQ-R/Fluor/L-Serie und dasjenige OPC-UA-Servermodul welcher MELSEC iQ-R-Serie zu verschaffen oder Programme anzuzeigen und auszuführen“, sagte die Vermittlung.

GX Works3 ist eine Engineering-Workstation-Software, die in ICS-Umgebungen verwendet wird und qua Umstand zum Hochdruckgebiet- und Herunterladen von Programmen vom/zum Controller, zur Beseitigung von Software- und Hardwareproblemen und zur Umsetzung von Wartungsarbeiten dient.

Die breite Palette an Funktionen macht sie fernerhin zu einem attraktiven Ziel pro Bedrohungsakteure, die solche Systeme kompromittieren möchten, um die verwalteten PLCs zu übernehmen.

Drei welcher 10 Mängel beziehen sich hinauf die Klartextspeicherung sensibler Datenmaterial, vier hinauf die Verwendung eines Festtag codierten kryptografischen Schlüssels, zwei hinauf die Verwendung eines Festtag codierten Passworts und einer hinauf verknüpfen Kern unzureichend geschützter Anmeldeinformationen.

Die kritischsten welcher Fehler, CVE-2022-25164 und CVE-2022-29830, nach sich ziehen verknüpfen CVSS-Score von 9,1 und könnten missbraucht werden, um Zugriff hinauf dasjenige CPU-Modul zu erhalten und Informationen mehr als Projektdateien zu erhalten, ohne dass dazu irgendwelche Berechtigungen erforderlich sind.

Nozomi Networks, dasjenige CVE-2022-29831 (CVSS-Priorisierung: 7,5) entdeckte, sagte, ein Angreifer mit Zugriff hinauf eine Sicherheits-SPS-Projektdatei könne dasjenige hartcodierte Passwort ausnutzen, um frei hinauf dasjenige Sicherheits-CPU-Modul zuzugreifen und unter Umständen industrielle Prozesse zu stören.

„Engineering-Software stellt eine entscheidende Komponente in welcher Sicherheitskette industrieller Steuerungen dar“, so dasjenige Unternehmen. „Sollten in ihnen Schwachstellen sich zeigen, können Angreifer sie schänden, um letztendlich die verwalteten Geräte und damit den überwachten industriellen Prozess zu kompromittieren.“

Die Offenlegung erfolgt, qua CISA Feinheiten einer Denial-of-Tafelgeschirr (DoS)-Schwachstelle in welcher MELSEC iQ-R-Serie von Mitsubishi Electric enthüllte, die hinauf verknüpfen Not an ordnungsgemäßer Eingabevalidierung zurückzuführen ist (CVE-2022-40265, CVSS-Priorisierung: 8,6).

„Die erfolgreiche Verwendung dieser Schwachstelle könnte es einem entfernten, nicht authentifizierten Angreifer geben, eine Denial-of-Tafelgeschirr-Grundvoraussetzung hinauf einem Zielprodukt zu verursachen, während er speziell gestaltete Pakete sendet“, bemerkte CISA.

In einer verwandten Entwicklungsverlauf skizzierte die Cybersicherheitsbehörde drei Probleme, die sich hinauf den Remote Compact Controller (RCC) 972 von Horner Automatisierung auswirken, von denen dasjenige kritischste (CVE-2022-2641, CVSS-Zahl: 9,8) zur Remote-Quellcode-Version zur Folge haben oder eine verursachen könnte DoS-Grundvoraussetzung.