CISA が 3 つの産業用制御システム ソフトウェアの重大な脆弱性を警告 from thehackernews.com

米国のサイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA) は、ETIC Telecom、Nokia、および Delta Industrial Automation のソフトウェアの複数の脆弱性に関する 3 つの産業用制御システム (ICS) 勧告を公開しました。
それらの中で際立っているのは、ETIC Telecom のリモート アクセス サーバー (RAS) に影響を与える 3 つの欠陥のセットで、「攻撃者が機密情報を取得し、脆弱なデバイスやその他の接続されたマシンを危険にさらす可能性があります」と CISA は述べています。
他の 2 つの欠陥は、RAS API のディレクトリ トラバーサル バグ (CVE-2022-41607、CVSS スコア: 8.6) およびファイル アップロードの問題 (CVE-2022-40981、CVSS スコア: 8.3) に関連しており、任意のファイルを読み取るために悪用される可能性があります。
CISA からの 2 番目のアドバイザリは、Nokia の ASIK AirScale 5G Common System Module の 3 つの欠陥 (CVE-2022-2482、CVE-2022-2483、および CVE-2022-2484) に関するもので、任意のコードの実行と安全なシステムの停止への道を開く可能性があります。
「これらの脆弱性の悪用に成功すると、悪意のあるカーネルが実行されたり、任意の悪意のあるプログラムが実行されたり、変更された Nokia プログラムが実行されたりする可能性があります」と CISA は指摘しています。