Pesquisadores alertam sobre falhas em equipamentos de análise de gases industriais amplamente utilizados

Várias falhas de segurança foram divulgadas nos cromatógrafos gasosos da Emerson Rosemount que poderiam ser exploradas por agentes mal-intencionados para obter informações confidenciais, induzir uma condição de negação de serviço (DoS) e até mesmo executar comandos arbitrários.

As falhas afetam GC370XA, GC700XA e GC1500XA e residem nas versões 4.1.5 e anteriores.

De acordo com a Claroty, empresa de segurança de tecnologia operacional (OT), as vulnerabilidades incluem duas falhas de injeção de comando e duas vulnerabilidades separadas de autenticação e autorização que podem ser transformadas em armas por invasores não autenticados para executar uma ampla gama de ações maliciosas, desde desvio de autenticação até injeção de comando.

“A exploração bem-sucedida dessas vulnerabilidades pode permitir que um invasor não autenticado com acesso à rede execute comandos arbitrários, acesse informações confidenciais, trigger uma condição de negação de serviço e ignore a autenticação para adquirir recursos administrativos”, afirmou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). ) disse em um comunicado divulgado em janeiro.

O cromatógrafo, que é usado para realizar medições críticas de gás, pode ser configurado e gerenciado por meio de um software program chamado MON. O software program também pode ser usado para armazenar dados críticos e gerar relatórios como cromatogramas, histórico de alarmes, logs de eventos e logs de manutenção.

A análise da Claroty do firmware e do protocolo proprietário usado para comunicações entre o dispositivo e o cliente Home windows chamado MON2020 revelou as seguintes deficiências:

• CVE-2023-46687 (pontuação CVSS: 9,8) – Um usuário não autenticado com acesso à rede pode executar comandos arbitrários no contexto raiz de um computador remoto

• CVE-2023-49716 (pontuação CVSS: 6,9) – Um usuário autenticado com acesso à rede pode executar comandos arbitrários de um computador remoto

• CVE-2023-51761 (pontuação CVSS: 8,3) – Um usuário não autenticado com acesso à rede pode ignorar a autenticação e adquirir recursos de administrador redefinindo a senha associada

• CVE-2023-43609 (pontuação CVSS: 6,9) – Um usuário não autenticado com acesso à rede pode obter acesso a informações confidenciais ou causar uma condição de negação de serviço

Após divulgação responsável, a Emerson lançou (PDF) uma versão atualizada do firmware que aborda as vulnerabilidades. A empresa também recomenda que os usuários finais sigam as melhores práticas de segurança cibernética e garantam que os produtos afetados não sejam expostos diretamente à Web.

A divulgação ocorre no momento em que a Nozomi Networks detalha várias falhas no AiLux RTU62351B que podem ser usadas para acessar recursos confidenciais no dispositivo, alterar sua configuração e até mesmo executar comandos arbitrários como root. As vulnerabilidades foram apelidadas coletivamente de I11USION.

Também foram identificadas falhas nos dispositivos de monitoramento de temperatura Proges Plus e no software program associado, nomeadamente Sensor Internet Join e Thermoscan IP, que podem permitir privilégios de administrador sobre sistemas médicos críticos, possibilitando assim que um agente mal-intencionado manipule as configurações do sistema, instale malware, e exfiltrar dados.

Essas vulnerabilidades, que permanecem sem correção, também podem resultar em uma condição DoS da infraestrutura de monitoramento médico, levando à deterioração de medicamentos e vacinas sensíveis à temperatura.