CISA警告3個工業控制系統軟體中存在嚴重漏洞

美國網路安全和基礎設施安全域性(CISA)釋出了三份工業控制系統(ICS)公告，涉及 ETIC Telecom、諾基亞和臺達工業自動化軟體中的多個漏洞。

CISA表示，其中最突出的是影響ETIC Telecom遠端訪問伺服器(RAS)的三個缺陷，這些缺陷“可能允許攻擊者獲取敏感資訊並破壞易受攻擊的裝置和其他連線的機器”。

這包括CVE-2022-3703 (CVSS評分：9.0)，這是一個嚴重的缺陷，源於RAS網站門戶無法驗證韌體的真實性，因此有可能潛入流氓包，為對手授予後門訪問許可權。

另外兩個缺陷與RAS API中的目錄遍歷錯誤(CVE-2022-41607, CVSS評分:8.6)和檔案上傳問題(CVE-2022-40981, CVSS評分:8.3)有關，可以利用該問題讀取任意檔案並上傳惡意檔案，從而損害裝置。

所有版本的ETIC Telecom RAS 4.5.0及更早版本都容易受到攻擊，法國公司在4.7.3版本中解決了這些問題。

第二份公告涉及諾基亞 ASIK AirScale 5G 通用系統模組中的三個缺陷(CVE-2022-2482、CVE-2022-2483 和 CVE-2022-2484)，這些缺陷可能為任意程式碼執行和安全啟動功能的停止鋪平道路。所有缺陷在 CVSS 嚴重性等級上的評級均為 8.4。

“成功利用這些漏洞可能導致執行惡意核心，執行任意惡意程式或執行修改後的諾基亞程式，”CISA指出。

據稱，諾基亞已經發布了影響ASIK版本474021A.101和ASIK 474021A.102的漏洞的緩解說明。該機構建議使用者直接聯絡諾基亞以獲取更多資訊。

最後，網路安全機構還警告說，存在一個路徑遍歷漏洞(CVE-2022-2969，CVSS 分數：8.1)，該漏洞會影響臺達工業自動化的 DIALink 產品，並可能被用來在目標裝置上植入惡意程式碼。

該缺陷已在1.5.0.0 Beta 4版本中得到解決，CISA表示可以透過直接接觸臺達工業自動化或透過臺達現場應用工程(FAEs)獲得該缺陷。

根據麥肯錫公司的調查，每秒將有127個新的物聯網裝置連線到網際網路，這些裝置上潛在的可利用漏洞助長了不斷增長的攻擊面。

安全漏洞為攻擊者提供了便捷通道，除工業系統漏洞，軟體安全漏洞同樣具有嚴重威脅性。超半數網路安全問題都是由軟體自身的安全漏洞被利用導致的，而在軟體開發中透過靜態程式碼檢測可以有效減少30%-70%的安全漏洞。由此，建議企業在加強韌體安全的同時，在軟體系統開發過程中利用靜態程式碼檢測等技術不斷檢測並修復系統中的安全漏洞，有助於企業構建穩固安全的網路根基，從根源處解決網路安全問題。

文章來源：