Новости CISA предупреждает о многочисленных критических уязвимостях в инженерном ПО Mitsubishi Electric GX Works3

[Пригоршня]

​

Агентство по кибербезопасности и защите инфраструктуры США (CISA) на этой неделе выпустило рекомендацию, предупреждающую о многочисленных уязвимостях в инженерном ПО Mitsubishi Electric GX Works3.

"Успешная эксплуатация этих уязвимостей позволяет неавторизованным злоумышленникам просматривать и выполнять программы, получать доступ к процессорным модулям серии MELSEC iQ-R/F/L и серверному модулю MELSEC iQ-R серии OPC UA", – говорится в сообщении агентства.

GX Works3 – последнее поколение ПО Mitsubishi Electric для программирования и обслуживания, специально предназначенное для систем управления серии MELSEC iQ-R. Оно включает множество новых возможностей, таких как графическое конфигурирование системы, встроенную настройку средств позиционирования, поддержку многоязычности, что создает интуитивно понятную среду разработки.

Специалисты разбили 10 обнаруженных уязвимостей на несколько групп:

• Три уязвимости связаны с хранением конфиденциальных данных в открытом виде;
• Четыре уязвимости связаны с использованием жестко закодированного криптографического ключа;
• Две – с использованием жестко закодированного пароля;
• Одна касается недостаточной защиты учетных данных.

Самые опасные бреши в защите – CVE-2022-25164 и CVE-2022-29830, имеют оценку 9.1 из 10 по шкале CVSS. Злоумышленники могут воспользоваться ими для получения доступа к модулю процессора и сбора информации файлах проекта без получения каких-либо разрешений.

Другая уязвимость, обнаруженная компанией Nozomi Networks, получила идентификатор CVE-2022-29831 и оценка 7.5 из 10 по шкале CVSS: 7,5. Эта брешь в защите может быть использована хакером, который уже имеет доступ к файлу проекта ПЛК, обеспечивающего безопасность при работе на станке (safety PLC). Используя жестко закодированный пароль, киберпреступник может получить прямой доступ к ЦП safety PLC и нарушить промышленные процессы.