CISA警告3个工业控制系统软件中存在严重漏洞

美国网络安全和基础设施安全局(CISA)发布了三份工业控制系统(ICS)公告，涉及 ETIC Telecom、诺基亚和台达工业自动化软件中的多个漏洞。

CISA表示，其中最突出的是影响ETIC Telecom远程访问服务器(RAS)的三个缺陷，这些缺陷“可能允许攻击者获取敏感信息并破坏易受攻击的设备和其他连接的机器”。

这包括CVE-2022-3703 (CVSS评分：9.0)，这是一个严重的缺陷，源于RAS网站门户无法验证固件的真实性，因此有可能潜入流氓包，为对手授予后门访问权限。

另外两个缺陷与RAS API中的目录遍历错误(CVE-2022-41607, CVSS评分:8.6)和文件上传问题(CVE-2022-40981, CVSS评分:8.3)有关，可以利用该问题读取任意文件并上传恶意文件，从而损害设备。

所有版本的ETIC Telecom RAS 4.5.0及更早版本都容易受到攻击，法国公司在4.7.3版本中解决了这些问题。

第二份公告涉及诺基亚 ASIK AirScale 5G 通用系统模块中的三个缺陷(CVE-2022-2482、CVE-2022-2483 和 CVE-2022-2484)，这些缺陷可能为任意代码执行和安全启动功能的停止铺平道路。所有缺陷在 CVSS 严重性等级上的评级均为 8.4。

“成功利用这些漏洞可能导致执行恶意内核，运行任意恶意程序或运行修改后的诺基亚程序，”CISA指出。

据称，诺基亚已经发布了影响ASIK版本474021A.101和ASIK 474021A.102的漏洞的缓解说明。该机构建议用户直接联系诺基亚以获取更多信息。

最后，网络安全机构还警告说，存在一个路径遍历漏洞(CVE-2022-2969，CVSS 分数：8.1)，该漏洞会影响台达工业自动化的 DIALink 产品，并可能被用来在目标设备上植入恶意代码。

该缺陷已在1.5.0.0 Beta 4版本中得到解决，CISA表示可以通过直接接触台达工业自动化或通过台达现场应用工程(FAEs)获得该缺陷。

根据麦肯锡公司的调查，每秒将有127个新的物联网设备连接到互联网，这些设备上潜在的可利用漏洞助长了不断增长的攻击面。

安全漏洞为攻击者提供了便捷通道，除工业系统漏洞，软件安全漏洞同样具有严重威胁性。超半数网络安全问题都是由软件自身的安全漏洞被利用导致的，而在软件开发中通过静态代码检测可以有效减少30%-70%的安全漏洞。由此，建议企业在加强固件安全的同时，在软件系统开发过程中利用静态代码检测等技术不断检测并修复系统中的安全漏洞，有助于企业构建稳固安全的网络根基，从根源处解决网络安全问题。

文章来源：

https://thehackernews.com/2022/11/cisa-warns-of-critical-vulnerabilities.html