8 Ông lớn công nghiệp công bố bản vá bảo mật mới cho hệ thống ICS

8 Ông lớn công nghiệp công bố bản vá bảo mật mới cho hệ thống ICS

Các gã khổng lồ trong ngành công nghiệp bao gồm Siemens, Schneider Electric, Aveva, Rockwell Automation, ABB, Phoenix Contact, Mitsubishi Electric và Moxa vừa đồng loạt công bố các bản tư vấn bảo mật mới cho hệ thống điều khiển công nghiệp (ICS) kể từ đợt Patch Tuesday trước. Động thái này nhằm khắc phục các lỗ hổng bảo mật tiềm ẩn có thể bị kẻ tấn công khai thác để xâm nhập vào các hệ thống vận hành quan trọng.

Minh họa bảo mật công nghiệp

Siemens và các bản vá lỗi ưu tiên

Siemens đã dẫn đầu với việc công bố chín bản tư vấn bảo mật mới. Trong số đó, chỉ có một bản tư vấn được đánh giá ở mức độ "nghiêm trọng" (critical), liên quan đến các lỗ hổng Wi-Fi cũ ảnh hưởng đến thiết bị Scalance W-700.

Ngoài ra, Siemens cũng đã xử lý các lỗ hổng mức độ cao trong các sản phẩm như:

• Sinec NMS: Khắc phục lỗi vượt qua xác thực và ủy quyền.
• Ruggedcom Crossbow: Sửa lỗi leo thang đặc quyền, thực thi mã và từ chối dịch vụ (DoS).
• Industrial Edge Management: Giải quyết vấn đề vượt qua ủy quyền.

Các vấn đề mức độ trung bình cũng được giải quyết trong TPM và Analytics Toolkit. Đáng chú ý, Siemens tuyên bố tham gia vào dự án Nhà xuất bản dữ liệu được ủy quyền của nhà cung cấp (SADP) của Chương trình CVE. Điều này cho phép các nhà cung cấp như Siemens thêm thông tin trực tiếp vào các mục nhập lỗ hổng, giúp tăng cường tính minh bạch và tốc độ phản hồi. Cisco, Microsoft, HeroDevs, Oracle và Red Hat cũng là những đơn vị tham gia dự án thí điểm này.

Cập nhật từ Schneider Electric, Aveva và Rockwell Automation

Schneider Electric đã phát hành ba bản tư vấn mới. Một trong số đó mô tả tác động của lỗ hổng BlastRadius được công bố vào năm 2024 đối với công tắc mạng được quản lý Modicon của hãng. Hai bản tư vấn còn lại bao gồm các lỗ hổng mức độ trung bình trong phần mềm quản lý UPS PowerChute Serial Shutdown và rơ le bảo vệ Easergy MiCOM Px40.

Bảo mật mạng

Aveva đã đưa ra một bản tư vấn để cảnh báo khách hàng về một lỗ hổng nghiêm trọng liên quan đến việc thiếu ủy quyền và leo thang đặc quyền trong phần mềm mô phỏng đường ống (Pipeline Simulation).

Trong khi đó, Rockwell Automation đã đăng một thông báo quan trọng kêu gọi khách hàng ngắt kết nối PLC (Bộ điều khiển logic lập trình được) khỏi internet sau khi nhận thấy hoạt động của các mối đe dọa tiềm năng. Cảnh báo này có khả năng liên quan đến các cuộc tấn công do các nhóm đe dọa liên kết với Iran thực hiện nhằm vào các tổ chức cơ sở hạ tầng quan trọng thông qua việc tấn công PLC.

Các bản vá từ ABB, Phoenix Contact, Mitsubishi Electric và Moxa

ABB đã ban hành bốn bản tư vấn kể từ đợt Patch Tuesday trước. Ba trong số đó bao gồm các lỗ hổng thành phần bên thứ ba ảnh hưởng đến các sản phẩm Ability Camera Connect, Ability Symphony và System 800xA. Bản tư vấn cuối cùng mô tả một lỗ hổng DoS trong ngăn xếp giao tiếp IEC 61850 của System 800xA và Symphony Plus.

Phoenix Contact có một bản tư vấn mới thông báo cho khách hàng về nhiều lỗi trong các sản phẩm FL Switch.

Mitsubishi Electric đã phát hành hai bản tư vấn mới: một cho lỗ hổng DoS xuất phát từ chip Realtek trong thiết bị gia dụng; và một cho các lỗi lộ thông tin, can thiệp và DoS trong các sản phẩm như Genesis64, Iconics Suite, MobileHMI, Hyper Historian, AnalytiX và MC Works64.

Cuối cùng, Moxa có một bản tư vấn mới bao gồm lỗ hổng bảo mật MxGeneralIo có thể dẫn đến DoS hoặc leo thang đặc quyền.

Cảnh báo từ CISA và CERT@VDE

Kể từ đợt Patch Tuesday trước, CISA (Cơ quan An ninh mạng và An ninh hạ tầng Hoa Kỳ) đã công bố các tư vấn về lỗ hổng trong sản phẩm của GPL Odorizers, Contemporary Controls, Mitsubishi Electric, Hitachi Energy, Yokogawa, PX4, Anritsu, PTC, OpenCode Systems, Wago, Pharos, Grassroots, Automated Logic, IGL-Technologies, CTEK, Codesys và Inductive Automation.

Đồng thời, CERT@VDE của Đức cũng đã phát hành các tư vấn cho sản phẩm của Codesys, MB Connect Line, Helmholz, Wago, Phoenix Contact, Baade M2M-Products và Endress+Hauser.