U.S. Cybersecurity and Infrastructure Security Agency (CISA) หรือ หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ แจ้งเตือนช่องโหว่ร้ายแรง บนระบบควบคุมอุตสาหกรรม Industrial Control System (ICS) 8 รายการที่ส่งผลกระทบกับผลิตภัณฑ์จาก Hitachi Energy, mySCADA Technologies, Industrial Control Links และ Nexx
ช่องโหว่ใน Hitachi Energy
CVE -2022-3682 (คะแนน CVSS: 9.9/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่การตรวจสอบสิทธิ์ของไฟล์ ทำให้สามารถอัปโหลดข้อความที่สร้างขึ้นเป็นพิเศษไปยังระบบ เพื่อสั่งรันโค้ดที่เป็นอันตรายได้ ซึ่งหากโจมตีได้สำเร็จ ผู้โจมตีจะสามารถเข้าควบคุมระบบได้ ส่งผลกระทบต่อ MicroSCADA System Data Manager SDM600 1.2 FP3 HF4 (หมายเลขรุ่น 1.2.23000.291) โดยปัจจุบันทาง Hitachi Energy ออกแพตซ์อัปเดตเวอร์ชัน SDM600 1.3.0.1339 เพื่อแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้ว
ช่องโหว่ใน mySCADA Technologies
CVE-2023-28400, CVE-2023-28716, CVE-2023-28384, CVE-2023-29169 และ CVE-2023-29150 (คะแนน CVSS: 9.9/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ command injection ส่งผลกระทบต่อ mySCADA myPRO เวอร์ชัน 8.26.0 และก่อนหน้า โดยปัจจุบันทาง mySCADA ออกแพตซ์อัปเดตเวอร์ชัน 8.29.0 เพื่อแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้ว
ช่องโหว่ใน Industrial Control Links
CVE-2022-25359 (คะแนน CVSS: 9.1/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถสามารถเขียนทับ ลบ หรือสร้างไฟล์ได้ โดยทาง Industrial Control Links กำลังจะปิดกิจการลง ทำให้จะไม่มีแพตซ์อัปเดตของช่องโหว่ดังกล่าว ทั้งนี้แนะนำให้ผู้ใช้งาน แยกเครือข่ายระบบควบคุมออกจากเครือข่ายอื่น ๆ และเชื่อมต่อผ่านไฟร์วอลล์เพื่อตรวจสอบการโจมตี รวมถึงลดความเสี่ยงในการเชื่อมต่อกับเครือข่ายอื่น ๆ
ช่องโหว่ใน Nexx
CVE-2023-1748 (คะแนน CVSS: 9.3/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ใน Application Programmable Interface (API) ซึ่งส่งผลกระทบต่อตัวควบคุมประตูโรงรถ ปลั๊กอัจฉริยะ และสัญญาณเตือนอัจฉริยะที่จำหน่ายโดย Nexx ทำให้สามารถเปิดประตูโรงรถในบ้าน เข้าควบคุมปลั๊กอัจฉริยะ และควบคุมสัญญาณเตือนภัยอัจฉริยะได้
อุปกรณ์สมาร์ทโฮม Nexx ที่ได้รับผลกระทบ ได้แก่เวอร์ชันต่อไปนี้
ตัวควบคุมประตูโรงรถ Nexx (NXG-100B, NXG-200) - เวอร์ชัน nxg200v-p3-4-1 และก่อนหน้า
- Nexx Smart Plug (NXPG-100W) - เวอร์ชัน nxpg100cv4-0-0 และก่อนหน้า
- Nexx Smart Alarm (NXAL-100) - เวอร์ชัน nxal100v-p1-9-1และก่อนหน้า
โดยช่องโหว่ดังกล่าว ขณะนี้ยังไม่มีแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ รวมไปถึงช่องโหว่ 4 รายการที่เหลืออีกด้วย
ที่มา : thehackernews
You must be logged in to post a comment.