Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat drei Hinweise auf mehrere Schwachstellen in der Software von ETIC Telecom, Nokia und Delta Industrial Automation für industrielle Kontrollsysteme (ICS) veröffentlicht.
Besonders hervorzuheben ist eine Reihe von drei Schwachstellen im Remote Access Server (RAS) von ETIC Telecom, die es einem Angreifer ermöglichen könnten, vertrauliche Informationen zu erlangen und das verwundbare Gerät und andere angeschlossene Maschinen zu kompromittieren“, so die CISA.
Dazu gehört CVE-2022-3703 (CVSS-Score: 9.0), eine kritische Schwachstelle, die darauf zurückzuführen ist, dass das RAS-Webportal nicht in der Lage ist, die Authentizität der Firmware zu überprüfen, wodurch es möglich ist, ein Rogue-Paket einzuschleusen, das dem Angreifer Zugang zu einer Backdoor gewährt.
Zwei weitere Schwachstellen betreffen einen Directory Traversal Bug in der RAS API (CVE-2022-41607, CVSS-Score: 8.6) und ein Datei-Upload-Problem (CVE-2022-40981, CVSS-Score: 8.3), das ausgenutzt werden kann, um beliebige Dateien zu lesen und bösartige Dateien hochzuladen, die das Gerät gefährden können.
Das israelische Cybersicherheitsunternehmen OTORIO wurde für die Entdeckung und Meldung der Schwachstellen verantwortlich gemacht. Alle Versionen von ETIC Telecom RAS 4.5.0 und früher sind anfällig, wobei das französische Unternehmen die Schwachstelle in Version 4.7.3 behoben hat.
Die zweite Meldung der CISA betrifft drei Schwachstellen im ASIK AirScale 5G Common System Module von Nokia (CVE-2022-2482, CVE-2022-2483 und CVE-2022-2484), die die Ausführung von beliebigem Code und die Unterbrechung der Secure-Boot-Funktionalität ermöglichen könnten. Alle Schwachstellen werden auf der CVSS-Schweregradskala mit 8,4 bewertet.
„Eine erfolgreiche Ausnutzung dieser Schwachstellen könnte die Ausführung eines bösartigen Kernels, die Ausführung beliebiger bösartiger Programme oder die Ausführung modifizierter Nokia-Programme zur Folge haben“, so die CISA.
Der finnische Telekommunikationsriese hat angeblich Anweisungen zur Behebung der Schwachstellen veröffentlicht, die die ASIK-Versionen 474021A.101 und 474021A.102 betreffen. Die Behörde empfiehlt den Nutzern, sich für weitere Informationen direkt an Nokia zu wenden.
Schließlich hat die Cybersecurity-Behörde auch vor einer Path-Traversal-Schwachstelle (CVE-2022-2969, CVSS-Score: 8.1) gewarnt, die die DIALink-Produkte von Delta Industrial Automation betrifft und ausgenutzt werden könnte, um bösartigen Code auf die Zielgeräte zu schleusen.
Die Schwachstelle wurde in der Version 1.5.0.0 Beta 4 behoben, die laut CISA direkt bei Delta Industrial Automation oder über die Delta Field Application Engineering (FAEs) bezogen werden kann.