| Разработчики: | Mitsubishi Electric |
| Отрасли: | Информационные технологии |
2022: Выявление дыр в инженерном ПО
29 ноября 2022 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило о том, что в инженерном программном обеспечении Mitsubishi Electric GX Works3 содержатся многочисленные уязвимости, которые теоретически позволяют злоумышленникам получать несанкционированный доступ к определённым модулям.
Наиболее серьёзные «дыры», информация о которых содержится в бюллетенях безопасности CVE-2022-25164 и CVE-2022-29830, дают киберпреступникам возможность взаимодействовать с процессорными модулями. Между тем, брешь CVE-2022-29831, обнаруженная специалистами Nozomi Networks, может быть использована для обеспечения непосредственного доступа к безопасному модулю ЦП и нарушения производственных процессов.
 | Инженерное программное обеспечение представляет собой важнейший компонент в инфраструктуре безопасности промышленных контроллеров. Если в нём содержатся какие-либо уязвимости, злоумышленники могут воспользоваться этим, чтобы в конечном итоге скомпрометировать управляемые устройства и, следовательно, контролируемый производственный процесс, — говорят эксперты. |  |
В общей сложности CISA описывает десять уязвимостей. Часть из них связана с использованием жестко закодированного криптографического ключа, ещё несколько — с применением жёстко закодированного пароля. Кроме того, обнаружены проблемы, касающиеся хранения конфиденциальной информации в текстовом виде. Выявлена также брешь, касающаяся недостаточной защиты учётных данных. В сообщении говорится, что успешное использование этих уязвимостей может позволить неавторизованным пользователям получить доступ к процессорным модулям MELSEC серии iQ-R/F/L и серверному модулю OPC UA серии MELSEC iQ-R. Злоумышленники также могут просматривать определённые данные и выполнять тот или иной программный код. [1]
Примечания
