CISA ให้คำแนะนำเกี่ยวกับช่องโหว่ใน System Module ของ Nokia
CISA ให้คำแนะนำเกี่ยวกับช่องโหว่ของระบบควบคุมอุตสาหกรรม (ICS) 3 รายการในซอฟต์แวร์ของETIC Telecom, Nokia และ Delta Industrial Automation
ช่องโหว่ดังกล่าวส่งผลกับ Remote Access Server (RAS) ของ ETIC Telecom ซึ่งอาจทำให้
ผู้ไม่ประสงค์ดีขโมยข้อมูลที่สำคัญและสามารถเข้าถึงอุปกรณ์ที่มีช่องโหว่
- CVE-2022-3703 เป็นช่องโหว่ที่เกิดจากการที่เว็บพอร์ทัล RAS นั้นไม่สามารถตรวจสอบความถูกต้องของเฟิร์มแวร์ได้
- CVE-2022-41607 เป็นช่องโหว่ Path traversal flaw ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีสามารถ
เข้าถึงไฟล์และไดเร็กทอรีที่เก็บไว้นอกโฟลเดอร์รูทของเว็บแอปพลิเคชันได้ - CVE-2022-40981 เป็นช่องโหว่การอัปโหลดไฟล์ที่ส่งผลให้ผู้ไม่ประสงค์ดีใช้ช่องโหว่นี้สามารถอัปโหลดไฟล์ที่อาจเป็นอันตรายต่ออุปกรณ์
OTORIO บริษัทรักษาความปลอดภัยของอิสราเอลเป็นผู้ค้นพบช่องโหว่ใน ETIC Telecom RAS 4.5.0 และเวอร์ชันที่ต่ำกว่า โดยให้อัพเดทซอฟต์แวร์เป็นเวอร์ชัน 4.7.3 เพื่อแก้ไขช่องโหว่
CISA ให้คำแนะนำเกี่ยวกับช่องโหว่ใน System Module ของ Nokia ได้แก่ CVE-2022-2482,
CVE-2022-2483 และ CVE-2022-2484 ซึ่งหากผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่เหล่านี้อาจส่งผลให้สามารถรันโปรแกรมที่เป็นอันตราย โดยแนะนำให้ผู้ใช้ติดต่อ Nokia โดยตรงสำหรับข้อมูลเพิ่มเติม
ในการแก้ไขปัญหาชั่วคราว
นอกจากนี้ CISA ให้คำแนะนำเกี่ยวกับช่องโหว่ที่ส่งผลกับอุปกรณ์ DIALink ของ Delta Industrial Automation ซึ่งได้รับแก้ไขแล้วในเวอร์ชัน 1.5.0.0 Beta 4
Ref : https://thehackernews.com/2022/11/cisa-warns-of-critical-vulnerabilities.html