A Agência de Segurança Cibernética e Infraestrutura dos EUA, publicou oito avisos de Sistemas de Controle Industrial (ICS) alertando sobre falhas críticas que afetam produtos da Hitachi Energy, mySCADA Technologies, Industrial Control Links e Nexx.

No topo da lista está o CVE-2022-3682 (pontuação CVSS: 9,9), impactando o MicroSCADA System Data Manager SDM600 da Hitachi Energy, que pode permitir que um invasor assuma o controle remoto do produto.

A falha decorre de um problema com a validação de permissão de arquivo, permitindo assim que um adversário envie uma mensagem especialmente criada para o sistema, levando à execução arbitrária do código.

Outro conjunto de cinco vulnerabilidades críticas está relacionado a erros de injeção de comando presentes nas versões mySCADA myPRO 8.26.0 e anteriores.

Um bug crítico de segurança também foi divulgado nos controladores Industrial Control Links ScadaFlex II SCADA que pode permitir que um invasor autenticado substitua, exclua ou crie arquivos.

“A exploração bem-sucedida dessas vulnerabilidades pode permitir que um invasor receba informações confidenciais, execute solicitações de interface programável de aplicativo (API) ou sequestre dispositivos”, disse a CISA.