Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) publiceerde vorige week een industrieel controlesysteem (ICS) advies met betrekking tot meerdere kwetsbaarheden die van invloed zijn op Schneider Electric’s gemak middenspanningsbeveiligingsrelais.
“Succesvolle exploitatie van deze kwetsbaarheden kan de inloggegevens van het apparaat onthullen, een denial-of-service-toestand veroorzaken, het apparaat opnieuw opstarten of een aanvaller in staat stellen volledige controle over het relais te krijgen”, zegt het bureau. zei in een bulletin op 24 februari 2022. “Hierdoor kan de beveiliging van uw elektriciteitsnet verloren gaan.”
De twee zeer ernstige zwakke punten zijn van invloed op Easergy P3-versies vóór v30.205 en Easergy P5-versies vóór v01.401.101. Details van de gebreken zijn als volgt –
- CVE-2022-22722 (CVSS-score: 7,5) – Gebruik van hardgecodeerde inloggegevens die kunnen worden misbruikt om het verkeer dat aan het apparaat is gekoppeld, te observeren en te manipuleren.
- CVE-2022-22723 en CVE-2022-22725 (CVSS-score: 8,8) – Een kwetsbaarheid voor bufferoverloop die kan leiden tot programmacrashes en uitvoering van willekeurige code door speciaal vervaardigde pakketten via het netwerk naar de relay te sturen.
De fouten, die werden ontdekt en gerapporteerd door onderzoekers Timothée Chauvin, Paul Noalhyt, Yuanshe Wu bij Red Balloon Security, werden door Schneider Electric aangepakt als onderdeel van updates die op 11 januari 2022 werden gepusht.
Het advies komt minder dan 10 dagen nadat CISA opnieuw een waarschuwing heeft afgegeven voor: meerdere kritieke kwetsbaarheden in Interactieve Graphical van Schneider Electric SCADA Systeem (IGSS) die, indien succesvol misbruikt, zou kunnen resulteren in “openbaarmaking van gegevens en verlies van controle over het SCADA-systeem terwijl IGSS in productiemodus draait.”
In gerelateerd nieuws, ook het Amerikaanse federale agentschap: sloeg alarm gerelateerd aan General Electric’s Proficy CIMPLICITEIT SCADA-software, waarschuwing voor twee beveiliging kwetsbaarheden die kunnen worden misbruikt om gevoelige informatie te onthullen, code-uitvoering en lokale escalatie van bevoegdheden te bereiken.
De adviezen volgen een Jaaroverzicht rapport van het industriële cyberbeveiligingsbedrijf Dragos, waaruit bleek dat 24% van de totale 1.703 ICS/OT-kwetsbaarheden die in 2021 werden gemeld geen patches beschikbaar hadden, waarvan 19% geen mitigatie had, waardoor operators geen stappen konden ondernemen om hun systemen te beschermen tegen potentiële bedreigingen .
Verder identificeerde Dragos kwaadaardige activiteit van drie nieuwe groepen die vorig jaar werden gevonden gericht op ICS-systemen, waaronder die van acteurs die het volgt als Kostovite, Erythrite en Petrovite, die elk gericht waren op de OT-omgevingen van hernieuwbare energie, elektriciteitsvoorziening en mijnbouw en energiebedrijven in Canada, Kazachstan en de VS
