Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило ряд рекомендаций, связанных с уязвимостями в промышленных системах управления (ICS). Они затрагивают несколько поставщиков, включая Johnson Controls Inc, ABB, Hitachi Energy и Schneider Electric.
В документах упомянуты коммерческие предприятия, сфера энергетики, транспортные системы и производство. Одна из уязвимостей имеет отношение к сектору здравоохранения.
CISA рекомендует пользователям и администраторам ознакомиться с публикациями для получения технической информации и сведениях о способах устранения.
Брешам присвоены различные уровни опасности по шкале CVSS v4, в том числе одной — уровень 9,1 (что делает её критической). Остальные имеют уровни от среднего до высокого: в диапазоне 6,1 — 8,7. В предупреждении ICSA-25-196-01 были выявлены различные уязвимости, которые влияют на Hitachi Energy Asset Suite. В рекомендациях CISA отмечается, что их беспрепятственная эксплуатация может позволить злоумышленнику получить несанкционированный доступ к целевому оборудованию, выполнить удалённое выполнение кода или повысить привилегии.
Уязвимость, связанная со сферой здравоохранения, получила идентификатор CVE-2024-22774 и затрагивает программное обеспечение Panoramic Digital Imaging версии 9.1.2.7600. Оценка CVSS v4 составила 8,5. Данный продукт уязвим к перехвату DLL, что потенциально даёт хакеру права доступа NT Authority/SYSTEM в качестве обычного пользователя.
Брешь в софте для обработки изображений относится к компоненту SDK, принадлежащему Oy Ajat Ltd, который больше не поддерживается. На сегодняшний день в CISA не поступало сообщений о каких-либо известных случаях эксплуатации этой уязвимости.
Усам Оздемиров
.jpg)
.jpg)