Ερευνητές ασφαλείας, ανακάλυψαν ορισμένα σοβαρά ελαττώματα στα προϊόντα εργοστασιακού αυτοματισμού της Mitsubishi Electric, τα οποία θα μπορούσαν να εκμεταλλευτούν από κακόβουλους παράγοντες για απομακρυσμένες επιθέσεις σε οργανισμούς.
Όπως ενημέρωσε την περασμένη εβδομάδα, το Cybersecurity and Infrastructure Security Agency των ΗΠΑ (CISA), δεκάδες προϊόντα εργοστασιακού αυτοματισμού της Mitsubishi Electric, επηρεάζονται από τρία ελαττώματα που μπορούν να αξιοποιηθούν για κλιμάκωση προνομίων, αυθαίρετη εκτέλεση κώδικα και επιθέσεις DoS.
Η Mitsubishi έχει ήδη κυκλοφορήσει ενημερωμένες εκδόσεις κώδικα για πολλά από τα προϊόντα που έχουν επηρεαστεί και παρέχει επίσης μεθόδους μετριασμού για τα υπόλοιπα, αλλά και για πελάτες που δεν μπορούν να εγκαταστήσουν αμέσως τις ενημερώσεις.
Η εταιρεία ασφάλειας στον κυβερνοχώρο, Claroty, ήταν εκείνη που αποκάλυψε τα σφάλματα στην Mitsubishi στα τέλη του 2019 και στις αρχές του 2020, ως μέρος της έρευνας σε αρχεία έργων ICS. Μάλιστα πρόσφατα, η Claroty κυκλοφόρησε κι ένα εργαλείο ανοιχτού κώδικα που επιτρέπει στους ερευνητές να αναλύσουν αρχεία βάσης δεδομένων Microsoft Access που σχετίζονται με εφαρμογές SCADA.
Ο ερευνητής της Claroty που ανακάλυψε αυτές τις ευπάθειες, Mashav Sapir, δήλωσε ότι ανακάλυψε τα ελαττώματα σε ένα από τα προϊόντα, το οποίο είχε χρησιμοποιηθεί από έναν πελάτη, αλλά επικρότησε τη Mitsubishi για την παροχή μιας πλήρους λίστας των προϊόντων που επηρεάζονται.
Ο Sapir σημείωσε ότι ένα από τα ελαττώματα, το CVE-2020-14523, μπορεί να αξιοποιηθεί εξ αποστάσεως, ξεγελώντας έναν χρήστη να ανοίξει ένα ειδικά κατασκευασμένο αρχείο, μέσω μιας επίθεσης ηλεκτρονικού ψαρέματος.
Ο εισβολέας θα μπορούσε να εκμεταλλευτεί αυτήν την ευπάθεια, για να ρίξει ένα κακόβουλο εκτελέσιμο αρχείο στο σύστημα του στόχου και στη συνέχεια να εκμεταλλευτεί τα άλλα δύο σφάλματα, CVE-2020-14496 ή CVE-2020-14521 για να εκτελέσει αυτό το αρχείο με αυξημένα δικαιώματα.
«Ένας εισβολέας που κατάφερε να εκμεταλλευτεί αυτές τις ευπάθειες θα αποκτήσει πλήρη πρόσβαση και έλεγχο στον υπολογιστή που χρησιμοποιεί το λογισμικό μηχανικής της Mitsubishi», εξήγησε ο ερευνητής. «Αυτό σημαίνει ότι έχει πλήρη πρόσβαση τόσο στη διαμόρφωση των συσκευών ICS όσο και τη δυνατότητα να την αλλάξει κατά βούληση, καθώς και πλήρη πρόσβαση στο δίκτυο σε αυτές τις συσκευές, έτσι έχει επίσης τη δυνατότητα να τους επιτίθεται άμεσα. Αυτό σημαίνει ότι ο εισβολέας μπορεί τώρα να θέσει σε κίνδυνο τη λειτουργία του περιβάλλοντος του OT, τροποποιώντας το ή διακόπτοντάς το εντελώς, χωρίς ανίχνευση.»
