Cơ quan An ninh cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vừa đưa ra cảnh báo về các lỗ hổng nghiêm trọng trong Hệ thống điều khiển công nghiệp (ICS) của Delta Electronics và Rockwell Automation.
Có 13 lỗ hổng bảo mật trong InfraSuite Device Master của Delta Electronics, một phần mềm giám sát thiết bị theo thời gian thực. Khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công không được xác thực có quyền truy cập vào các tệp, đánh cắp thông tin đăng nhập, leo thang đặc quyền và thực thi mã tùy ý từ xa. Tất cả các phiên bản trước 1.0.5 đều bị ảnh hưởng bởi lỗ hổng này.
Đứng đầu danh sách là CVE-2023-1133 (điểm CVSS: 9,8), một lỗ hổng nghiêm trọng phát sinh từ việc InfraSuite Device Master chấp nhận các gói UDP chưa được xác minh và giải tuần tự hóa nội dung, do đó cho phép kẻ tấn công từ xa không được xác thực thực thi mã tùy ý. Hai lỗ hổng deserialization là CVE-2023-1139 (điểm CVSS: 8,8) và CVE-2023-1145 (điểm CVSS: 7,8) cũng có thể được khai thác để thực thi mã từ xa.
Một số lỗ hổng khác liên quan đến ThinManager ThinServer của Rockwell Automation và ảnh hưởng đến các phiên bản: 6.x – 10.x, 11.0.0 – 11.0.5, 11.1.0 – 11.1.5, 11.2.0 – 11.2.6, 12.0.0 – 12.0.4, 12.1.0 – 12.1.5 và 13.0.0 – 13.0.1.
Hai lỗ hổng truyền tải đường dẫn nghiêm trọng là CVE-2023-28755 (điểm CVSS: 9,8) và CVE-2023-28756 (điểm CVSS: 7,5) có thể cho phép kẻ tấn công từ xa không được xác thực tải các tệp tùy ý lên thư mục nơi ThinServer.exe được cài đặt. Tin tặc có thể khai thác CVE-2023-28755 để ghi đè lên các tệp thực thi hiện có bằng các phiên bản trojan, có khả năng dẫn đến thực thi mã từ xa.
Người dùng nên cập nhật lên các phiên bản 11.0.6, 11.1.6, 11.2.7, 12.0.5, 12.1.6 và 13.0.2 để giảm thiểu các mối đe dọa tiềm ẩn. Các phiên bản ThinManager ThinServer 6.x – 10.x đã ngừng hoạt động, yêu cầu người dùng nâng cấp lên phiên bản được hỗ trợ.
Cuối năm 2022, CISA cũng đã cảnh báo về lỗ hổng tràn bộ đệm nghiêm trọng trong Rockwell Automation ThinManager ThinServer (CVE-2022-38742, điểm CVSS: 8.1) có thể dẫn đến việc thực thi mã từ xa tùy ý.
Nguồn: The Hacker News