A CISA lançou seis comunicados de Sistemas de Controle Industrial (ICS) no dia 11 de junho de 2024. Esses comunicados fornecem informações oportunas sobre problemas atuais de segurança, vulnerabilidades e explorações em torno do ICS.
ICSA-24-163-01 Rockwell Automation ControlLogix, GuardLogix e CompactLogix
1. SUMÁRIO EXECUTIVO
- CVSS v4 8.3
- ATENÇÃO: Baixa complexidade de ataque
- Fornecedor: Rockwell Automation
- Equipamentos: ControlLogix, GuardLogix, CompactLogix
- Vulnerabilidade: implementação de fluxo de controle sempre incorreta
2. AVALIAÇÃO DE RISCO
A exploração bem-sucedida desta vulnerabilidade pode comprometer a disponibilidade do dispositivo.
3. DETALHES TÉCNICOS
3.1 PRODUTOS AFETADOS
A Rockwell Automation relata que os seguintes controladores foram afetados:
- ControlLogix 5580: V34.011
- GuardLogix 5580: V34.011
- 1756-EN4: V4.001
- CompactLogix 5380: V34.011
- Compact GuardLogix 5380: V34.011
- CompactLogix 5380: V34.011
- ControlLogix 5580: V34.011
- CompactLogix 5480: V34.011
3.2 Visão geral da vulnerabilidade
3.2.1 Implementação de fluxo de controle sempre incorreto CWE-670
A Rockwell Automation foi informada sobre uma vulnerabilidade que faz com que todos os controladores afetados na mesma rede resultem em uma falha grave irrecuperável (MNRF/Assert). Esta vulnerabilidade pode ser explorada enviando pacotes anormais para a porta mDNS. Se explorado, a disponibilidade do dispositivo ficaria comprometida.
CVE-2024-5659 foi atribuído a esta vulnerabilidade. Foi calculada uma pontuação básica do CVSS v3.1 de 7,4; a string do vetor CVSS é (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H).
Uma pontuação CVSS v4 também foi calculada para CVE-2024-5659. Foi calculada uma pontuação básica de 8,3; a string do vetor CVSS é (CVSS4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/ SA:H).
3.3 Background
- SETORES DE INFRAESTRUTURA CRÍTICA: Manufatura Crítica
- PAÍSES/ÁREAS IMPLANTADAS: Em todo o mundo
- LOCALIZAÇÃO DA SEDE DA EMPRESA: Estados Unidos
3.4 Pesquisador
A Rockwell Automation relatou esta vulnerabilidade à CISA.
4. MITIGAÇÕES
A Rockwell Automation oferece aos usuários as seguintes soluções:
- ControlLogix 5580: corrigido em V34.014, V35.013, V36.011 e posterior
- GuardLogix 5580: corrigido na V34.014, V35.013, V36.011 e posterior
- 1756-EN4: corrigido na V6.001 e posterior
- CompactLogix 5380: corrigido em V34.014, V35.013, V36.011 e posterior
- Compact GuardLogix 5380: corrigido na V34.014, V35.013, V36.011 e posterior
- CompactLogix 5380: corrigido em V34.014, V35.013, V36.011 e posterior
- ControlLogix 5580: corrigido em V34.014, V35.013, V36.011 e posterior
- CompactLogix 5480: corrigido em V34.014, V35.013, V36.011 e posterior
A Rockwell Automation incentiva os usuários do software afetado, que não conseguem atualizar para uma das versões corrigidas, a aplicar as mitigações de risco sempre que possível.
- Os usuários que não usam o Automatic Policy Deployment (APD) devem bloquear a porta mDNS, 5353, para ajudar a impedir a comunicação.
- Ative a segurança CIP. Segurança CIP com técnica de aplicação de produtos Rockwell Automation
- Melhores práticas de segurança
ICSA-24-163-02 AVEVA PI Web API
1. SUMÁRIO EXECUTIVO
- CVSS v4 8.4
- ATENÇÃO: Explorável remotamente/baixa complexidade de ataque
- Fornecedor: AVEVA
- Equipamento: PI Web API
- Vulnerabilidade: desserialização de dados não confiáveis
2. AVALIAÇÃO DE RISCO
A exploração bem-sucedida desta vulnerabilidade pode permitir que um invasor execute execução remota de código.
3. DETALHES TÉCNICOS
3.1 PRODUTOS AFETADOS
As seguintes versões do AVEVA PI Web API, uma interface RESTful para o sistema PI, são afetadas:
- AVEVA PI Web API: versões 2023 e anteriores
3.2 Visão geral da vulnerabilidade
3.2.1 Desserialização de dados não confiáveis CWE-502
Há uma vulnerabilidade no AVEVA PI Web API que pode permitir a execução de código malicioso no ambiente PI Web API sob os privilégios de um usuário interativo que foi socialmente projetado para usar a funcionalidade de importação XML da API com conteúdo fornecido por um invasor.
CVE-2024-3468 foi atribuído a esta vulnerabilidade. Foi calculada uma pontuação básica do CVSS v3.1 de 7,6; a string do vetor CVSS é (AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:L).
Uma pontuação CVSS v4 também foi calculada para CVE-2024-3468. Foi calculada uma pontuação básica de 8,4; a string do vetor CVSS é (CVSS4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:L/SC:N/SI:N/ SA:N).
3.3 Background
- SETORES DE INFRAESTRUTURA CRÍTICA: Manufatura Crítica
- PAÍSES/ÁREAS IMPLANTADAS: Em todo o mundo
- LOCALIZAÇÃO DA SEDE DA EMPRESA: Reino Unido
3.4 Pesquisador
A AVEVA relatou esta vulnerabilidade à CISA.
4. MITIGAÇÕES
A AVEVA recomenda que as organizações avaliem o impacto dessas vulnerabilidades com base no seu ambiente operacional, arquitetura e implementação de produtos. Os clientes que usam produtos afetados devem aplicar as atualizações de segurança o mais rápido possível:
No Portal do Cliente OSI Soft, pesquise “PI Web API” e selecione a versão “2023 SP1” ou posterior.
(Alternativa) O PI Web API 2021 SP3 pode ser corrigido atualizando o PI AF Client para uma das versões especificadas no Boletim de segurança AVEVA AVEVA-2024-004 / ICSA-24-163-03
A AVEVA recomenda ainda que os usuários sigam medidas defensivas gerais:
- Defina a configuração “DisableWrites” como verdadeira, se esta instância do PI Web API for usada apenas para leitura de dados ou solicitações GET.
- Desinstale o recurso Core Endpoints se esta instância do PI Web API for usada somente para coleta de dados de adaptadores AVEVA. Mantenha o recurso OMF instalado.
- Limite os administradores dos servidores AF, para que a maioria das contas de usuário do PI Web API não tenha permissão para alterar os servidores AF de back-end.
ICSA-24-163-03 Cliente AVEVA PI Asset Framework
1. SUMÁRIO EXECUTIVO
- CVSS v4 8.4
- ATENÇÃO: Explorável remotamente/baixa complexidade de ataque
- Fornecedor: AVEVA
- Equipamento: PI Web API
- Vulnerabilidade: desserialização de dados não confiáveis
2. AVALIAÇÃO DE RISCO
A exploração bem-sucedida desta vulnerabilidade pode permitir a execução de código malicioso.
3. DETALHES TÉCNICOS
3.1 PRODUTOS AFETADOS
As seguintes versões do AVEVA PI Asset Framework Client, uma ferramenta para modelar objetos físicos ou lógicos, são afetadas:
- Cliente do PI Asset Framework: 2023
- Cliente PI Asset Framework: 2018 SP3 P04 e anteriores
3.2 Visão geral da vulnerabilidade
3.2.1 Desserialização de dados não confiáveis CWE-502
Há uma vulnerabilidade no AVEVA PI Asset Framework Client que pode permitir a execução de código malicioso no ambiente PI System Explorer sob os privilégios de um usuário interativo que foi projetado socialmente para importar XML fornecido por um invasor.
CVE-2024-3467 foi atribuído a esta vulnerabilidade. Foi calculada uma pontuação básica do CVSS v3.1 de 7,3; a string do vetor CVSS é (AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H).
Uma pontuação CVSS v4 também foi calculada para CVE-2024-3467. Foi calculada uma pontuação básica de 7,0; a string do vetor CVSS é (CVSS4.0/AV:L/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/ SA:N).
3.3 Background
- SETORES DE INFRAESTRUTURA CRÍTICA: Manufatura Crítica
- PAÍSES/ÁREAS IMPLANTADAS: Em todo o mundo
- LOCALIZAÇÃO DA SEDE DA EMPRESA: Reino Unido
3.4 Pesquisador
A AVEVA relatou esta vulnerabilidade à CISA.
4. MITIGAÇÕES
A AVEVA recomenda que as organizações avaliem o impacto dessas vulnerabilidades com base no seu ambiente operacional, arquitetura e implementação de produtos. Os clientes que usam produtos afetados devem aplicar as atualizações de segurança o mais rápido possível:
- (Recomendado) Todas as versões afetadas podem ser corrigidas com a atualização para o PI AF Client 2023 Patch 1 ou posterior: No OSI Soft Customer Portal, procure por “Asset Framework” e selecione “PI Asset Framework (AF) Client 2023 Patch 1” ou posterior.
- (Alternativa) O AF Client 2018 SP3 P04 e anteriores podem ser corrigidos implantando o PI AF Client 2018 SP3 Patch 5 ou posterior: No Portal do Cliente da OSI Soft, pesquise “Asset Framework” e selecione “PI Asset Framework (AF) Client 2018 SP3 Patch 5” ou posterior.
A AVEVA recomenda ainda que os usuários sigam medidas defensivas gerais:
- Execute o PI System Explorer como uma conta interativa com menos privilégios, quando possível.
- Estabeleça procedimentos para verificar se a origem do XML é confiável antes de importar para o PI System Explorer.
ICSA-24-163-04 Gateway de Emergência Intrado 911
1. SUMÁRIO EXECUTIVO
- CVSS v4 10.0
- ATENÇÃO: Explorável remotamente/baixa complexidade de ataque
- Fornecedor: Intrado
- Equipamento: Gateway de Emergência 911 (EGW)
- Vulnerabilidade: injeção de SQL
2. AVALIAÇÃO DE RISCO
A exploração bem-sucedida desta vulnerabilidade pode permitir que um invasor execute código malicioso, exfiltre dados ou manipule o banco de dados.
3. DETALHES TÉCNICOS
3.1 PRODUTOS AFETADOS
As seguintes versões do Gateway de Emergência 911 do Intrado são afetadas:
- 911 Emergency Gateway (EGW): Todas as versões
3.2 Visão geral da vulnerabilidade
3.2.1 NEUTRALIZAÇÃO INADEQUADA DE ELEMENTOS ESPECIAIS UTILIZADOS EM UM COMANDO SQL (‘SQL INJECTION’) CWE-89
O formulário de login do Intrado 911 Emergency Gateway é vulnerável a uma injeção cega de SQL não autenticada baseada em tempo, que pode permitir que um invasor execute código malicioso, exfiltre dados ou manipule o banco de dados.
CVE-2024-1839 foi atribuído a esta vulnerabilidade. Uma pontuação básica do CVSS v3.1 de 10,0 foi calculada; a string do vetor CVSS é (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
Uma pontuação CVSS v4 também foi calculada para CVE-2024-1839. Uma pontuação básica de 10,0 foi calculada; a string do vetor CVSS é (CVSS4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/ SA:L/S:P/AU:Y/R:U/V:C).
- SETORES CRÍTICOS DE INFRAESTRUTURA: Serviços de Emergência
- PAÍSES/ÁREAS IMPLANTADAS: Em todo o mundo
- LOCALIZAÇÃO DA SEDE DA EMPRESA: Estados Unidos
3.4 Pesquisador
Um indivíduo anônimo relatou esta vulnerabilidade à CISA.
4. MITIGAÇÕES
A Intrado forneceu um patch para mitigar a vulnerabilidade. Quaisquer EGWs implantados em revisões mais antigas precisarão ser atualizados para a ramificação 5.5/5.6 para aplicar o patch. Para obter assistência na obtenção do patch, entre em contato com o grupo de suporte técnico da Intrado pelo telefone 1-888-908-4167 ou E911Support@intrado.com.
A CISA recomenda que os usuários tomem medidas defensivas para minimizar o risco de exploração desta vulnerabilidade, tais como:
- Minimize a exposição da rede para todos os dispositivos e/ou sistemas do sistema de controle, garantindo que eles não sejam acessíveis pela Internet.
- Localize redes de sistemas de controle e dispositivos remotos atrás de firewalls e isole-os das redes comerciais.
- Quando for necessário acesso remoto, utilize métodos mais seguros, como Redes Privadas Virtuais (VPNs), reconhecendo que as VPNs podem ter vulnerabilidades e devem ser atualizadas para a versão mais atual disponível. Reconheça também que a VPN é tão segura quanto os dispositivos conectados.
ICSA-23-108-02 Software de monitoramento on-line Schneider Electric APC Easy UPS (atualização A)
1. SUMÁRIO EXECUTIVO
- CVSS v3 9.8
- ATENÇÃO: Explorável remotamente/Baixa complexidade de ataque/Exploits públicos disponíveis
- Fornecedor: Schneider Electric
- Equipamento: Software de monitoramento on-line APC Easy UPS
- Vulnerabilidade: injeção de comando do sistema operacional, autenticação ausente para função crítica
2. AVALIAÇÃO DE RISCO
A exploração bem-sucedida desta vulnerabilidade pode fazer com que um invasor obtenha execução remota de código no sistema operacional subjacente ao manipular métodos internos por meio da interface Java RMI. Também pode resultar no aumento de privilégios ou no desvio de autenticação, o que pode resultar na execução maliciosa de código da Web ou na perda de funcionalidade do dispositivo.
3. DETALHES TÉCNICOS
3.1 PRODUTOS AFETADOS
As seguintes versões do software Easy UPS Online Monitoring para Windows 10, 11, Windows Server 2016, 2019, 2022 são afetadas:
- Software de monitoramento on-line Easy UPS da APC: v2.5-GA-01-22261 e anteriores
- Software de monitoramento on-line Schneider Electric Easy UPS: Versão V2.5-GA-01-22320 e anteriores
3.2 Visão geral da vulnerabilidade
3.2.1 Autenticação ausente para função crítica CWE-306
Versões anteriores do Schneider Electric APC Easy UPS Online contêm uma vulnerabilidade de injeção de comando do sistema operacional que pode causar execução remota de código ao manipular métodos internos por meio da interface Java RMI.
CVE-2023-29412 foi atribuído a esta vulnerabilidade. Foi calculada uma pontuação básica do CVSS v3 de 9,8; a string do vetor CVSS é (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
3.2.3 Autenticação ausente para função crítica CWE-306
Existe uma vulnerabilidade que pode causar uma condição de negação de serviço quando acessada por um usuário não autenticado no serviço Schneider UPS Monitor.
CVE-2023-29413 foi atribuído a esta vulnerabilidade. Foi calculada uma pontuação básica do CVSS v3 de 7,5; a string do vetor CVSS é (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).
O formulário de login do Intrado 911 Emergency Gateway é vulnerável a uma injeção cega de SQL não autenticada baseada em tempo, que pode permitir que um invasor execute código malicioso, exfiltre dados ou manipule o banco de dados.
3.4 Background
- SETORES DE INFRAESTRUTURA CRÍTICA: Manufatura Crítica
- PAÍSES/ÁREAS IMPLANTADAS: Em todo o mundo
- LOCALIZAÇÃO DA SEDE DA EMPRESA: França
3.4 Pesquisador
Esjay, trabalhando com a Trend Micro Zero Day Initiative, e Nicholas Miles, trabalhando com a Tenable, relataram essas vulnerabilidades à Schneider Electric e à CISA.
4. MITIGAÇÕES
A Schneider Electric tomou conhecimento de uma PoC pública detalhando uma exploração para versões anteriores do software de monitoramento on-line APC Easy UPS e recomenda fortemente que todos os usuários tomem as ações defensivas listadas neste comunicado.
O software afetado está sendo descontinuado com a descontinuação dos Cartões SNMP Online Easy UPS (APV9601, APVS9601) gerenciados por este software. Apesar das versões fixas, a Schneider Electric recomenda que os usuários migrem para a série de software PowerChute, incluindo PowerChute Serial Shutdown e PowerChute Network Shutdown. Para mais informações, consulte os seguintes sites:
- Desligamento serial do PowerChute
- Desligamento da rede PowerChute
A Schneider Electric recomenda que os usuários atualizem seus dispositivos afetados para as seguintes versões ou posteriores:
- Software de monitoramento on-line Easy UPS da APC: versão 2.6-GA ou posterior
- Software de monitoramento on-line Schneider Electric Easy UPS: versão 2.6-GS ou posterior
A Schneider Electric recomenda que os usuários utilizem metodologias de patching apropriadas ao aplicar estes patches aos seus sistemas e avaliem o impacto destes patches num ambiente de teste, desenvolvimento ou infraestrutura offline. A Schneider Electric recomenda fortemente o uso de backups.
Os usuários podem entrar em contato com o Centro de Atendimento ao Cliente da Schneider Electric para obter assistência adicional.
A Schneider Electric recomenda fortemente que os usuários sigam as melhores práticas do setor de segurança cibernética, incluindo:
- Localizar redes de sistemas de controle e segurança e dispositivos remotos atrás de firewalls e isolá-los da rede comercial.
- Instalar controles físicos para ajudar a impedir que usuários não autorizados acessem sistemas de controle e segurança industrial, componentes, equipamentos periféricos e redes.
- Colocar todos os controladores em armários trancados, e não deixá-los no modo “Programa”.
- Conectando apenas software de programação à rede destinada a esse dispositivo.
- Verificação de todos os métodos de troca de dados móveis com a rede isolada antes da utilização nos terminais ou nós conectados a essas redes.
- Higienizar adequadamente os dispositivos móveis conectados a outra rede antes de conectar-se à rede pretendida.
- Minimizar a exposição da rede para todos os dispositivos e sistemas do sistema de controle e garantir que eles não sejam acessíveis pela Internet.
- Utilizando métodos seguros, como redes privadas virtuais (VPNs), quando o acesso remoto é necessário.
- Para obter mais informações, consulte o documento Práticas recomendadas de segurança cibernética recomendadas pela Schneider Electric.
ICSMA-24-163-01 Visualizador MicroDicom DICOM
1. SUMÁRIO EXECUTIVO
- CVSS v4 8.7
- ATENÇÃO: Explorável remotamente/baixa complexidade de ataque
- Fornecedor: MicroDicom
- Equipamento: Visualizador DICOM
- Vulnerabilidades: autorização inadequada no manipulador para esquema de URL personalizado, estouro de buffer baseado em pilha
2. AVALIAÇÃO DE RISCO
A exploração bem-sucedida dessas vulnerabilidades pode permitir que um invasor recupere e plante arquivos de imagens médicas no sistema da vítima e cause um buffer overflow baseado em pilha, o que pode resultar na divulgação de informações confidenciais e na execução arbitrária de códigos.
3. DETALHES TÉCNICOS
3.1 PRODUTOS AFETADOS
As seguintes versões do MicroDicom DICOM Viewer, um visualizador de imagens médicas, são afetadas:
- Visualizador DICOM: versões anteriores a 2024.2
3.2 Visão geral da vulnerabilidade
3.2.1 AUTORIZAÇÃO INADEQUADA NO HANDLER PARA ESQUEMA DE URL PERSONALIZADO CWE-939
Um invasor pode recuperar arquivos confidenciais (imagens médicas), bem como plantar novas imagens médicas ou subsituí-las no sistema da vítima. A interação do usuário é necessária para explorar esta vulnerabilidade.
CVE-2024-33606 foi atribuído a esta vulnerabilidade. Foi calculada uma pontuação básica do CVSS v3.1 de 8,8; a string do vetor CVSS é (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H).
Uma pontuação CVSS v4 também foi calculada para CVE-2024-33606. Foi calculada uma pontuação básica de 8,6; a string do vetor CVSS é (CVSS4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/ SA:N).
3.2.2 OVERFLOW DE BUFFER BASEADO EM PILHA CWE-121
O produto afetado é vulnerável a um buffer overflow baseado em pilha, que pode permitir que um invasor execute código arbitrário nas instalações afetadas do DICOM Viewer. A interação do usuário é necessária para explorar esta vulnerabilidade.
CVE-2024-28877 foi atribuído a esta vulnerabilidade. Foi calculada uma pontuação básica do CVSS v3.1 de 8,8; a string do vetor CVSS é (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H).
Uma pontuação CVSS v4 também foi calculada para CVE-2024-28877. Foi calculada uma pontuação básica de 8,7; a string do vetor CVSS é (CVSS4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/ SA:N).
3.4 Background
- SETORES CRÍTICOS DE INFRAESTRUTURA: Saúde e Saúde Pública
- PAÍSES/ÁREAS IMPLANTADAS: Em todo o mundo
- LOCALIZAÇÃO DA SEDE DA EMPRESA: Bulgária
3.4 Pesquisador
Michael Heinzl relatou essas vulnerabilidades à CISA.
4. MITIGAÇÕES
MicroDicom recomenda que os usuários atualizem para o DICOM Viewer versão 2024.2.
A CISA recomenda que os usuários tomem medidas defensivas para minimizar o risco de exploração destas vulnerabilidades, tais como:
- Minimize a exposição da rede para todos os dispositivos e/ou sistemas do sistema de controle, garantindo que eles não sejam acessíveis pela Internet.
- Localize redes de sistemas de controle e dispositivos remotos atrás de firewalls e isole-os das redes comerciais.
- Quando for necessário acesso remoto, utilize métodos mais seguros, como Redes Privadas Virtuais (VPNs), reconhecendo que as VPNs podem ter vulnerabilidades e devem ser atualizadas para a versão mais atual disponível. Reconheça também que a VPN é tão segura quanto os dispositivos conectados.
A CISA lembra as organizações de realizarem análises de impacto e avaliações de risco adequadas antes de implementar medidas defensivas.
Para saber mais, clique aqui.
