Ics

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié trois avis sur les systèmes de contrôle industriel (ICS) concernant de multiples vulnérabilités dans les logiciels d’ETIC Telecom, Nokia et Delta Industrial Automation.

Parmi eux, un ensemble de trois failles affectant le serveur d’accès à distance (RAS) d’ETIC Telecom, qui « pourrait permettre à un attaquant d’obtenir des informations sensibles et de compromettre l’appareil vulnérable et d’autres machines connectées », a déclaré la CISA.

Cela inclut CVE-2022-3703 (score CVSS : 9,0), une faille critique qui découle de l’incapacité du portail Web RAS à vérifier l’authenticité du micrologiciel, permettant ainsi de glisser un paquet malveillant qui accorde un accès par porte dérobée à l’adversaire.

Deux autres failles concernent un bogue de traversée de répertoire dans l’API RAS (CVE-2022-41607, score CVSS : 8,6) et un problème de téléchargement de fichiers (CVE-2022-40981, score CVSS : 8,3) qui peuvent être exploités pour lire des fichiers arbitraires. et télécharger des fichiers malveillants qui peuvent compromettre l’appareil.

La société israélienne de cybersécurité industrielle OTORIO a été reconnue pour avoir découvert et signalé les failles. Toutes les versions d’ETIC Telecom RAS 4.5.0 et antérieures sont vulnérables, avec les problèmes adressé par la société française en version 4.7.3.

Publicité

Le deuxième avis de la CISA concerne trois failles dans le module système commun ASIK AirScale 5G de Nokia (CVE-2022-2482, CVE-2022-2483 et CVE-2022-2484), qui pourraient ouvrir la voie à l’exécution de code arbitraire et à l’arrêt de la sécurité. fonctionnalité de démarrage. Tous les défauts sont notés 8,4 sur l’échelle de gravité CVSS.

« L’exploitation réussie de ces vulnérabilités pourrait entraîner l’exécution d’un noyau malveillant, l’exécution de programmes malveillants arbitraires ou l’exécution de programmes Nokia modifiés », a noté la CISA.

La Cyber-Sécurité

Le géant finlandais des télécoms aurait publié des instructions d’atténuation des failles qui impactent les versions ASIK 474021A.101 et ASIK 474021A.102. L’agence recommande aux utilisateurs de contacter directement Nokia pour plus d’informations.

Enfin, l’autorité de cybersécurité a également mis en garde contre une vulnérabilité de traversée de chemin (CVE-2022-2969, score CVSS : 8,1) qui affecte les produits DIALink de Delta Industrial Automation et pourrait être exploitée pour planter du code malveillant sur les appareils ciblés.

La lacune a été corrigée dans la version 1.5.0.0 Beta 4, qui, selon la CISA, peut être obtenue en contactant directement Delta Industrial Automation ou via l’ingénierie d’application sur le terrain (FAE) de Delta.


Rate this post
Publicité
Article précédentWarhammer: Vermintide 2 et Rising Storm 2: Vietnam sont désormais téléchargeables et conservables gratuitement
Article suivantTamra Judge dit qu’elle a été surprise par son retour « RHOC »
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici