CISA عيوب شديدة الخطورة في برنامج شركة GE Digital حيث حذرة من عيوب شديدة الخطورة في برنامج Schneider وبرنامج SCADA الخاص بشركة GE Digital نشرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الأسبوع الماضي استشاريًا لنظام التحكم الصناعي (ICS) يتعلق بنقاط الضعف المتعددة التي تؤثر على مرحلات حماية الجهد المتوسط Easergy من شنايدر إلكتريك.
وقالت الوكالة في نشرة بتاريخ 24 فبراير 2022: “قد يؤدي الاستغلال الناجح لهذه الثغرات الأمنية إلى الكشف عن بيانات اعتماد الجهاز ، أو التسبب في حالة رفض الخدمة ، أو إعادة تشغيل الجهاز ، أو السماح للمهاجمين بالسيطرة الكاملة على التتابع”. قد يؤدي إلى فقدان حماية الشبكة الكهربائية الخاصة بك. ”
تؤثر نقطتا الضعف شديدتا الخطورة على إصدارات Easergy P3 السابقة للإصدار 30.205 وإصدارات Easergy P5 قبل الإصدار 01.401.101.
تفاصيل العيوب كالتالي –
- CVE-2022-22722 (درجة CVSS: 7.5) – استخدام بيانات الاعتماد المشفرة التي يمكن إساءة استخدامها لمراقبة حركة المرور المرتبطة بالجهاز والتلاعب بها.
- CVE-2022-22723 و CVE-2022-22725 (درجة CVSS: 8.8) – ثغرة أمنية في تجاوز سعة المخزن المؤقت قد تؤدي إلى تعطل البرنامج وتنفيذ رمز تعسفي عن طريق إرسال حزم معدة خصيصًا إلى المرحل عبر الشبكة.
عالجت شنايدر إلكتريك العيوب ، التي تم اكتشافها والإبلاغ عنها من قبل الباحثين Timothée Chauvin ، و Paul Noalhyt ، و Yuanshe Wu في Red Balloon Security ، كجزء من التحديثات التي تم دفعها في 11 يناير 2022.
يأتي هذا الاستشارة بعد أقل من 10 أيام من إصدار CISA لتحذير تنبيه آخر من نقاط الضعف الحرجة المتعددة في نظام SCADA الرسومي التفاعلي (IGSS) الخاص بشنايدر إلكتريك ، والذي إذا تم استغلاله بنجاح ، فقد يؤدي إلى “الكشف عن البيانات وفقدان التحكم في نظام SCADA مع IGSS قيد التشغيل في وضع الإنتاج “.
في الأخبار ذات الصلة. أطلقت الوكالة الفيدرالية الأمريكية أيضًا جرس الإنذار المتعلق ببرنامج جنرال إلكتريك Proficy CIMPLICITY SCADA. محذرة من ثغرات أمنية يمكن إساءة استخدامها للكشف عن معلومات حساسة. وتحقيق تنفيذ التعليمات البرمجية. وتصعيد الامتيازات المحلية.
تتبع الإرشادات تقرير عام قيد المراجعة من شركة الأمن السيبراني الصناعي Dragos. والذي وجد أن 24٪ من إجمالي 1،703 ثغرات أمنية في ICS / OT تم الإبلاغ عنها في عام 2021 لم يكن بها أي تصحيحات متاحة. من بينها 19٪ ليس لديها أي تخفيف. مما يمنع المشغلين من اتخاذ أي خطوات لحماية أنظمتهم من التهديدات المحتملة. CISA عيوب شديدة الخطورة في برنامج شركة GE Digital
علاوة على ذلك. حدد Dragos نشاطًا ضارًا من ثلاث مجموعات جديدة تم العثور عليها تستهدف أنظمة ICS العام الماضي. بما في ذلك من الجهات الفاعلة التي تتبعها مثل Kostovite و Erythrite و Petrovite. والتي استهدفت كل منها بيئات OT للطاقة المتجددة والمرافق الكهربائية والتعدين. وشركات الطاقة الموجودة في كندا وكازاخستان والولايات المتحدة.