นักวิจัยเปิดเผยช่องโหว่ร้ายแรงใหม่ในผลิตภัณฑ์ OT ของ Wago และ Schneider Electric

15/66 (OT) ประจำวันศุกร์ที่ 23 มิถุนายน 2566

การเปิดเผยช่องโหว่ด้านความปลอดภัยจำนวนสามรายการในผลิตภัณฑ์เทคโนโลยีการปฏิบัติงาน (OT) จาก Wago และ Schneider Electric ช่องโหว่ตาม Forescout  ที่เรียกกันว่า OT : ICEFALL ซึ่งประกอบด้วยช่องโหว่จำนวน 61 รายการ โดยช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2022-46680 (คะแนน CVSS: 8.8) ซึ่งเกี่ยวข้องกับการส่งข้อมูลรับรองแบบ plaintext transmission ในโปรโตคอล ION/TCP ที่ใช้โดยมิเตอร์ไฟฟ้าจาก Schneider Electric หากการใช้ประโยชน์จากช่องโหว่ได้สำเร็จอาจทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่มีช่องโหว่ได้

ช่องโหว่ด้านความปลอดภัยอีกสองช่อง ( CVE-2023-1619 และ CVE-2023-1620 คะแนน CVSS: 4.9) เกี่ยวข้องกับ denial-of-service (DoS) ที่ส่งผลกระทบต่อ controller WAGO 750 ที่สามารถเปิดใช้งานจากผู้โจมตีที่ตรวจสอบความถูกต้องโดยการส่งเฉพาะแพ็คเก็ตที่มีรูปแบบไม่ถูกต้องหรือคำขอเฉพาะหลังจากออกจากระบบ      

สรุปผลการวิจัย OT : ICEFALL Forescout ได้สังเกตว่าผู้ขายยังขาดความเข้าใจพื้นฐานเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัย และออกแพตช์ที่ไม่สมบูรณ์ในการใช้ขั้นตอนการทดสอบความปลอดภัยที่เหมาะสม

แหล่งข่าว ( https://thehackernews.com/2023/06/researchers-expose-new-severe-flaws-in.html )