אינטליגנציה של נתונים גנרטיביים

אבטחת סייבר

בקרי רשת ICS פתוחים לניצול מרחוק, אין תיקונים זמינים

הועלה מחדש על ידי אפלטון
הועלה מחדש על ידי אפלטון

תאריך:

צפיות: 0

ייעוץ אבטחה שהוצא השבוע על ידי הסוכנות לאבטחת סייבר ותשתיות (CISA) מתריע בפני מנהלי מערכת על נקודות תורפה בשני התקני מערכות בקרה תעשייתיות - Unitronics Vision Series PLC ו-Mitsubishi Electric MELSEC iQ-R Series.

CISA הזהירה כי בקר Unitronics Vision Series PLC פתוח לניצול מרחוק בשל אחסון הסיסמאות שלו בפורמט הניתן לשחזור. לפגיעות זו (CVE-2024-1480) נקבע ציון CVSS של 8.7.

יוניטרוניקס לא הגיבה או עבדה עם הסוכנות כדי למתן את הבעיה, והותירה רשתות עם מכשירים אלה פתוחות להתקפות סייבר, לפי CISA. הייעוץ ממליץ לוודא שהבקרים אינם מחוברים לאינטרנט, לבודד אותם מרשתות עסקיות, להגן על המכשירים שמאחורי חומות אש, ולהשתמש בשיטות מאובטחות, כמו רשתות וירטואליות פרטיות (VPNs), לגישה מרחוק.

השאר פגיעויות ICS להשפיע על מודול המעבד של מיצובישי אלקטריק MELSEC iQ-R. ליקוי עיצובי ב-CPU, המעקב אחר תחת CVE-2021-20599, קיבל ציון CVSS של 9.1. היחידה משדרת סיסמאות בטקסט ברור, אשר יורטו בקלות על ידי יריבים.

המעבדים של מיצובישי MELSEC מכילים גם שלישיית פגמים מדווחים שעלולים לאפשר לשחקן איום להתפשר על שמות משתמש, לגשת למכשיר ולמנוע גישה ממשתמשים לגיטימיים. אלה כוללים: חשיפת מידע רגיש (CVE-2021-20594, CVSS 5.9); אישורים לא מוגנים מספיק (CVE-2021-20597, CVSS 7.4); ומנגנון חסימת חשבון מגביל (CVE-2021-20598, CVSS 3.7).

מיצובישי פועלת לספק הקלות ופתרונות לעקיפת הבעיה. עם זאת, מערכות עם מכשירים אלה אינן יכולות להתעדכן בתיקון, על פי CISA. הסוכנות מייעצת למנהלי מערכת עם מכשירים אלה ברשתות שלהם לחזק הגנות באמצעות חומות אש, מגבלות גישה מרחוק והגבלות כתובות IP.

"מיצובישי אלקטריק פרסמה את הגרסה הקבועה... אך עדכון המוצר לגרסה הקבועה אינו זמין", נכתב בייעוץ. "CISA ממליצה למשתמשים לנקוט באמצעי הגנה כדי למזער את הסיכון לניצול של פגיעות זו."

ספוט_ימג

המודיעין האחרון

ספוט_ימג

זכויות יוצרים @ 2024 Plato Technologies Inc.

דבר איתנו

שלום שם! איך אני יכול לעזור לך?