More

    Istraživači otkrivaju nove nedostatke u Wago i Schneider Electric OT proizvodima

    Tri sigurnosna propusta otkrivena su u proizvodima operativne tehnologije (OT) kompanija Wago i Schneider Electric.

    Nedostaci su, prema Forescout-u, dio šireg skupa nedostataka koji se zajednički nazivaju OT:ICEFALL, koji sada sadrži ukupno 61 problem koji obuhvata 13 različitih dobavljača.

    “OT:ICEFALL pokazuje potrebu za strožim ispitivanjem i poboljšanjima procesa koji se odnose na siguran dizajn, zakrpe i testiranje kod dobavljača OT uređaja” navodi kompanij u izvještaju koji je podijeljen za The Hacker News.

    Najozbiljniji od nedostataka je CVE-2022-46680 (CVSS rezultat: 8,8), koji se tiče prenosa kredencijala u otvorenom tekstu u ION/TCP protokolu koji koriste mjerači struje kompanije Schneider Electric.

    Uspješno iskorištavanje greške moglo bi omogućiti hakerima da preuzmu kontrolu nad ranjivim uređajima. Vrijedi napomenuti da je CVE-2022-46680 jedna od 56 nedostataka koje je Forescout prvobitno otkrio u junu 2022. godine.

    Druge dvije nove sigurnosne rupe (CVE-2023-1619 i CVE-2023-1620, CVSS rezultati: 4,9) odnose se na greške u slučaju uskraćivanja usluge (DoS) koje utiču na WAGO 750 kontrolere koje bi autentifikovani napadač mogao aktivirati slanjem određenih pogrešno oblikovanih paketa ili specifičnih zahtjeva nakon odjavljivanja.

    Završavajući istraživanje OT:ICEFALL-a, Forescout napominje da dobavljači još uvijek nemaju temeljno razumijevanje praksi bezbjednosti po dizajnu i da objavljuju nekompletne zakrpe i ne implementiraju odgovarajuće procedure testiranja sigurnosti.

    “Ovo je zabrinjavajuće jer kako OT proizvodi počnu implementirati sigurnosne kontrole i na kraju dobijaju sertifikat, percepcija njihovog sigurnosnog položaja bi se mogla promijeniti i osjećaj hitnosti oko kompenzacijskih kontrola mogao bi pasti, što bi dovelo do lažnog osjećaja sigurnosti” rekli su iz kompanije.

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories