Avizul evidențiază vulnerabilități critice în sistemul de control Ovation al Emerson, în special versiunile 3.8.0 Feature Pack 1 și anterioare. Aceste vulnerabilități includ autentificarea lipsă pentru funcții critice și verificarea insuficientă a autenticității datelor. Exploatarea cu succes ar putea duce la executarea de cod de la distanță, pierderea de informații sensibile, refuzul de serviciu sau modificarea neautorizată a configurației controlerului. Utilizatorii sunt sfătuiți să treacă la cea mai recentă versiune și să urmeze practicile de securitate recomandate pentru a reduce riscurile.
Produse
Ovation
Versiune: 3.8.0 Feature Pack 1 și anterioare
Furnizor: Emerson
CVEs: CVE-2022-30267, CVE-2022-29966
Vulnerabilități
Lipsa autentificării pentru funcția critică
CVE: CVE-2022-29966
Scoring CVSSv3: 9.8 - Critic
CVSSv4 Scor: 9.3 - Critic
CWE: CWE-306
Descriere: Produsul afectat are mai multe protocoale care nu au autentificare, ceea ce ar putea permite unui atacator să modifice configurația controlerului sau să provoace o situație de refuz al serviciului.
Impact: Execuție de cod de la distanță, refuz de serviciu, modificarea neautorizată a configurației controlerului.
Mitigare: Actualizați la Ovation 3.8.0 Feature Pack 3, utilizați controllere OCR3000, implementați și configurați sistemele conform manualului Cybersecurity for Ovation Systems.
Verificarea insuficientă a autenticității datelor
CVE: CVE-2022-30267
Scoring CVSSv3: 9.1 - Critic
Scoring CVSSv4: 8.7 - ridicat
CWE: CWE-345
Descriere: S-a constatat că produsul afectat nu dispune de autentificare a semnării firmware-ului și se bazează pe o sumă de verificare nesigură pentru integritate. Acest lucru ar putea permite unui atacator să împingă imagini de firmware malițioase, să provoace o stare de refuz de serviciu sau să obțină executarea de cod de la distanță.
Impact: Execuție de cod de la distanță, refuz de serviciu, actualizări neautorizate de firmware.
Mitigare: Actualizați la Ovation 3.8.0 Feature Pack 3, utilizați controllere OCR3000, implementați și configurați sistemele conform manualului Cybersecurity for Ovation Systems.
Concluzie
Vulnerabilitățile identificate în sistemul de control Ovation de la Emerson sunt grave și ar putea avea un impact semnificativ dacă sunt exploatate. Este esențial ca utilizatorii să facă upgrade la cea mai recentă versiune și să urmeze practicile de securitate recomandate pentru a reduce aceste riscuri. Acest avertisment subliniază importanța securizării infrastructurilor critice și necesitatea unei vigilențe continue și a unor strategii de apărare proactive. Organizațiile ar trebui să rămână informate cu privire la amenințările potențiale și să implementeze măsuri solide de securitate cibernetică pentru a-și proteja sistemele.
Referințe
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
