CISA警告3种工业控制系统软件存在严重漏洞

美国网络安全和基础设施安全局（CISA）发布了三份工业控制系统（ICS）公告，内容涉及ETIC Telecom、Nokia和Delta Industrial Automation软件中的多个漏洞。

其中最突出的是影响ETIC Telecom远程访问服务器（RAS）的一组三个缺陷，CISA表示，这“可能允许攻击者获取敏感信息，并危及易受攻击的设备和其他连接的机器”。

这包括CVE-2022-3703（CVSS评分：9.0），这是一个关键缺陷，源于RAS门户网站无法验证固件的真实性，从而使其可能滑入授予对手后门访问权限的恶意软件包。

另外两个缺陷与RAS API中的目录遍历错误（CVE-2022-41607，CVSS评分：8.6）和文件上传问题（CVE-2042-40981，CVSS得分：8.3）有关，可利用该漏洞读取任意文件并上传可能危及设备的恶意文件。

以色列工业网络安全公司OTORIO被认为发现并报告了这些缺陷。ETIC Telecom RAS 4.5.0和更早版本的所有版本都易受攻击，法国公司在4.7.3版本中解决了这些问题。

CISA的第二份建议涉及诺基亚ASIK AirScale 5G通用系统模块（CVE-2022-2482、CVE-2022-202483和CVE-20222-484）中的三个缺陷，这可能为任意代码执行和安全引导功能的停止铺平道路。所有缺陷在CVSS严重程度等级表中被评为8.4级。

CISA指出：“成功利用这些漏洞可能导致执行恶意内核、运行任意恶意程序或运行修改后的诺基亚程序”。

据称，这家芬兰电信巨头已发布了针对影响ASIK 474021A.101和ASIK 474002A.102版本的缺陷的缓解说明。该机构建议用户直接联系诺基亚以获取更多信息。

最后，网络安全机构还警告称，存在路径穿越漏洞（CVE-2022-2969，CVSS评分：8.1），该漏洞会影响Delta Industrial Automation的DIALink产品，并可能被用来在目标设备上植入恶意代码。

该缺陷已在1.5.0.0 Beta 4版中得到解决，CISA表示，可通过直接或通过Delta现场应用工程（FAE）联系Delta工业自动化来获得该缺陷。