Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) δημοσίευσε συμβουλές την περασμένη εβδομάδα για να ενημερώσει τους οργανισμούς που χρησιμοποιούν προϊόντα Hitachi Energy σχετικά με αρκετές κρίσιμες και υψηλής σοβαρότητας ευπάθειες που αντιμετωπίστηκαν πρόσφατα.
Η CISA δημοσίευσε τρεις συμβουλές που περιγράφουν ελαττώματα ασφαλείας σε τρία προϊόντα που παράγονται από την εταιρεία παροχής ενεργειακών λύσεων Hitachi Energy. Ο πωλητής δημοσίευσε τις δικές του συμβουλευτικές υπηρεσίες για τα τρωτά σημεία του Δεκεμβρίου. Οι συμβουλές, που φιλοξενούνται στον ιστότοπο της ABB, κυκλοφόρησαν λίγες εβδομάδες πριν η ABB ανακοινώσει ότι ολοκλήρωσε την πώληση του υπόλοιπου μεριδίου της στη Hitachi Energy στη Hitachi.
Μια συμβουλευτική από την CISA περιγράφει πέντε ευπάθειες υψηλής σοβαρότητας. Τα ζητήματα σχετίζονται με την κρυπτογράφηση και τα διαπιστευτήρια χρήστη και μπορούν να χρησιμοποιηθούν για τη λήψη ευαίσθητων πληροφοριών και την πραγματοποίηση κακόβουλων τροποποιήσεων στο σύστημα. Απαιτείται πρόσβαση στο δίκτυο στο στοχευμένο σύστημα για εκμετάλλευση.
Μια άλλη συμβουλευτική περιγράφει τρία ελαττώματα που επηρεάζουν τα OpenSSL και Zlib, τα οποία χρησιμοποιούνται από το Lumada Asset Performance Management (APM) της Hitachi Energy.
Τα θέματα OpenSSL έχουν ταξινομηθεί ως «υψηλής σοβαρότητας» και μπορούν να χρησιμοποιηθούν για την πρόκληση συνθήκης άρνησης υπηρεσίας (DoS), ενώ η ευπάθεια Zlib είναι «κρίσιμη» και θα μπορούσε να επιτρέψει, εκτός από τις επιθέσεις DoS, την αυθαίρετη εκτέλεση κώδικα.
Η Hitachi κυκλοφόρησε ενημερώσεις που αντιμετωπίζουν τα περισσότερα από τα τρωτά σημεία και ορισμένα ζητήματα θα διορθωθούν την επόμενη περίοδο.
Όταν δημοσιεύθηκαν οι συμβουλές της, η Hitachi Energy δεν γνώριζε καμία από τις ευπάθειες που αποκαλύφθηκαν δημόσια ή εκμεταλλευόταν για κακόβουλους σκοπούς.
