0
0
O alerta da CISA detalha várias vulnerabilidades que afetam todas as versões dos controladores Honeywell Experion Process Knowledge System C200, C200E, C300 e ACE
A CISA, Agência de Segurança da Infraestrutura e Cibersegurança dos EUA, publicou ontem um alerta para as empresas que utilizam sistemas de controle industrial Honeywell Experion e ACE. O alerta da agência detalha várias vulnerabilidades que afetam todas as versões dos controladores Honeywell Experion Process Knowledge System C200, C200E, C300 e ACE. Segundo a Agência, um invasor remoto pode explorar algumas dessas vulnerabilidades para assumir o controle de um sistema vulnerável.
A Agência está recomendando que os usuários e administradores revejam os documentos “ICSA-21-278-04 Honeywell Experion and ACE Controllers”, o “Experion Network and Security Planning Guide” e também o “Honeywell Support document SN2021-02-22-01” para obter mais informações e aplicar as mitigações necessárias.
O Experion Process Knowledge System (PKS) é um sistema de controle distribuído (DCS) projetado para controlar grandes processos industriais que abrangem muitos setores, de usinas petroquímicas a usinas nucleares, onde alta confiabilidade e segurança são importantes.
De acordo com a Honeywell, a Control Component Library (CCL) pode ser modificada por um invasor e carregada no controlador para executar código malicioso.
As vulnerabilidades foram descobertas pelos especialistas Rei Henigman e Nadav Erez, da Claroty:
- CVE-2021-38397 (vulnerabilidade com 10 pontos na escala CVSS) – Upload irrestrito de arquivo de tipo perigos
- CVE-2021-38395 (9,1 pontos na escala CVSS) – neutralização incorreta de elementos especiais na saída utilizada pelo componente de downstream;
- CVE-2021-38399 (CVSS 7.5) – Traversal de caminho relativo.
Os problemas estão relacionados ao procedimento de carregamento do código, que é necessário para programar a lógica no controlador, o que permite que um invasor imite o processo e carregue binários arbitrários.
“O dispositivo então baixa os arquivos executáveis sem realizar verificações ou limpeza, dando ao invasor a capacidade de baixar os arquivos executáveis e executar o código nativo não autorizado remotamente sem autenticação”, explicaram os especialistas.
A exploração bem-sucedida de problemas pode permitir que um invasor obtenha acesso a arquivos e diretórios não autorizados, execute remotamente código arbitrário e cause uma negação de condição de serviço.
Os usuários são fortemente encorajados a aplicar as correções que abordam essas vulnerabilidades.
Com agências de notícias internacionais
FONTE: CISO ADVISOR