أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) هذا الأسبوع تحذيرًا استشاريًا لأنظمة التحكم الصناعية (ICS) حول نقاط الضعف المتعددة في البرنامج الهندسي لشركة Mitsubishi Electric GX Works3. CISA تحذر من نقاط الضعف
كما. وقالت الوكالة “الاستغلال الناجح لهذه الثغرات الأمنية يمكن أن يسمح للمستخدمين غير المصرح لهم بالوصول إلى وحدات وحدة المعالجة المركزية سلسلة MELSEC iQ-R / F / L ووحدة خادم OPC UA من سلسلة MELSEC iQ-R أو لعرض البرامج وتنفيذها”.
GX Works3:
هو برنامج محطة عمل هندسي يستخدم في بيئات ICS. ويعمل كآلية لتحميل وتنزيل البرامج من / إلى وحدة التحكم. واستكشاف مشكلات البرامج والأجهزة. وتنفيذ عمليات الصيانة.
كما أن النطاق الواسع من الوظائف يجعل النظام الأساسي هدفًا جذابًا للجهات الفاعلة في التهديد التي تتطلع إلى اختراق مثل هذه الأنظمة للسيطرة على PLCs المدارة.
تتعلق ثلاثة من العيوب العشر بتخزين نص واضح للبيانات الحساسة. وأربعة تتعلق باستخدام مفتاح تشفير مشفر. واثنان يتعلقان باستخدام كلمة مرور مشفرة. وواحد يتعلق بحالة بيانات الاعتماد غير المحمية بشكل كافٍ.
جوجل تطرح تحديثًا جديدًا لمتصفح كروم لتصحيح ثغرة أخرى.
أكثر الأخطاء أهمية. CVE-2022-25164 و CVE-2022-29830. تحمل درجة CVSS البالغة 9.1 ويمكن إساءة استخدامها للوصول إلى وحدة وحدة المعالجة المركزية والحصول على معلومات حول ملفات المشروع دون الحاجة إلى أي أذونات.
قالت شركة Nozomi Networks. التي اكتشفت CVE-2022-29831 (درجة CVSS: 7.5). إن المهاجم الذي لديه إمكانية الوصول إلى ملف مشروع PLC للأمان يمكنه استغلال كلمة المرور المشفرة للوصول مباشرةً إلى وحدة المعالجة المركزية الآمنة وربما تعطيل العمليات الصناعية.
تتحدث الشركة عن:
وقالت الشركة: “تمثل البرمجيات الهندسية عنصرًا حاسمًا في السلسلة الأمنية لوحدات التحكم الصناعية”. “في حالة ظهور أي نقاط ضعف فيها.
من ناحية أخرى. فقد يسيء الخصوم استخدامها لتعريض الأجهزة المدارة في النهاية للخطر. وبالتالي. العملية الصناعية الخاضعة للإشراف.”
يأتي هذا الكشف في الوقت الذي كشفت فيه CISA عن تفاصيل ثغرة أمنية في رفض الخدمة (DoS) في سلسلة Mitsubishi Electric MELSEC iQ-R والتي تنبع من نقص التحقق من صحة الإدخال المناسب (CVE-2022-40265. درجة CVSS: 8.6).
بناء على ذلك. أشارت CISA إلى أن “الاستغلال الناجح لهذه الثغرة الأمنية قد يسمح لمهاجم بعيد غير مصادق بالتسبب في حالة رفض الخدمة على منتج مستهدف عن طريق إرسال حزم معدة خصيصًا”. CISA تحذر من نقاط الضعف
في تطور ذي صلة. كما. حددت وكالة الأمن السيبراني بشكل أكبر ثلاث مشكلات تؤثر على وحدة التحكم عن بعد المدمجة (RCC) 972 من Horner Automation.
على سبيل المثال. التي يمكن أن تؤدي (CVE-2022-2641 درجة CVSS: 9.8) إلى تنفيذ التعليمات البرمجية عن بُعد أو تسبب شرط DoS.