A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) publicou três avisos para Sistemas de Controle Industrial (ICS) sobre várias vulnerabilidades no software da ETIC Telecom, Nokia e Delta Industrial Automation.

Entre eles, destaca-se um conjunto de três falhas que afetam o Remote Access Server (RAS) da ETIC Telecom, que “pode permitir que um invasor obtenha informações confidenciais e comprometa o dispositivo vulnerável e outras máquinas conectadas”, disse a CISA.

Isso inclui o CVE-2022-3703 (pontuação CVSS: 9.0), uma falha crítica que decorre da incapacidade do portal RAS de verificar a autenticidade do firmware, tornando possível inserir um pacote não autorizado que concede acesso backdoor ao adversário.

Duas outras falhas estão relacionadas a um erro de passagem de diretório na API RAS (CVE-2022-41607, pontuação CVSS: 8,6) e um problema de upload de arquivo (CVE-2022-40981, pontuação CVSS: 8,3) que pode ser explorado para ler arquivos arbitrários e fazer upload de arquivos maliciosos que podem comprometer o dispositivo.

“A exploração bem-sucedida dessas vulnerabilidades pode resultar na execução de um kernel malicioso, execução de programas maliciosos arbitrários ou execução de programas Nokia modificados”, observou a CISA.