Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat am Dienstag zwei Empfehlungen für industrielle Kontrollsysteme (ICS) veröffentlicht, die sich auf schwerwiegende Schwachstellen in Advantech R-SeeNet und Hitachi Energy APM Edge Appliances beziehen.
Dabei handelt es sich um drei Schwachstellen in der R-SeeNet-Überwachungslösung, deren erfolgreiche Ausnutzung „dazu führen könnte, dass ein unbefugter Angreifer Dateien auf dem System aus der Ferne löscht oder die Ausführung von Remote-Code ermöglicht.“
Die Liste der Schwachstellen, die die R-SeeNet-Versionen 2.4.17 und früher betreffen, lautet wie folgt
CVE-2022-3385 und CVE-2022-3386 (CVSS-Score: 9.8) – Zwei stapelbasierte Pufferüberlaufschwachstellen, die zur Ausführung von Remotecode führen können
CVE-2022-3385 und CVE-2022-3386 (CVSS-Score: 9.8) – Zwei stapelbasierte Pufferüberlauffehler, die zur entfernten Codeausführung führen können CVE-2022-3387 (CVSS-Score: 6.5) – Ein Path Traversal-Fehler, der es einem entfernten Angreifer ermöglichen könnte, beliebige PDF-Dateien zu löschen
Die Patches wurden in der Version 2.4.21 von R-SeeNet zur Verfügung gestellt, die am 30. September 2022 veröffentlicht wurde.
Außerdem hat die CISA ein Update zu einem Advisory vom Dezember 2021 veröffentlicht, in dem es um mehrere Schwachstellen in den Asset Performance Management (APM) Edge-Produkten von Hitachi Energy Transformer geht, die dazu führen können, dass diese nicht mehr zugänglich sind.
Die 29 Schwachstellen, denen zusammen ein CVSS-Score von 8.2 zugewiesen wurde, sind auf Sicherheitslücken in Open-Source-Softwarekomponenten wie OpenSSL, LibSSL, libxml2 und GRUB2 Bootloader zurückzuführen. Den Nutzern wird empfohlen, auf APM Edge Version 4.0 zu aktualisieren, um die Fehler zu beheben.
Die beiden Warnungen kommen weniger als eine Woche, nachdem die CISA am 13. Oktober 2022 25 ICS-Hinweise veröffentlicht hat, die mehrere Sicherheitslücken in Geräten von Siemens, Hitachi Energy und Mitsubishi Electric umfassen.
Nach Angaben des OT-Cybersecurity- und Asset-Monitoring-Unternehmens SynSaber wurden in der ersten Hälfte des Jahres 2022 681 ICS-Produktschwachstellen über die CISA gemeldet, von denen 152 als kritisch, 289 als hoch und 2015 als mittelschwer eingestuft wurden.
Für 54 der als kritisch/hoch eingestuften Schwachstellen gibt es weder einen Patch noch eine Entschärfung durch die Hersteller, was 13 % aller gemeldeten Schwachstellen und der verbleibenden „ewig währenden Schwachstellen“ entspricht.
„Es ist wichtig, dass die Eigentümer von Anlagen und diejenigen, die kritische Infrastrukturen verteidigen, wissen, wann Abhilfemaßnahmen verfügbar sind und wie diese Abhilfemaßnahmen umgesetzt und priorisiert werden sollten“, so SynSaber.