A empresa japonesa de equipamentos elétricos Fuji Electric corrigiu meia dúzia de tipos de vulnerabilidades em seu produto operacional e de monitoramento de fábrica em Tellus.
As falhas de segurança, identificadas por um pesquisador que usa o apelido online de “kimiya,” foram descobertas nos produtos Tellus Lite V-Simulator e V-Server Lite, que são usados em todo o mundo para monitorar e operar fábricas remotamente. Versões anteriores a 4.0.12.0 são afetadas.
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) publicou na terça-feira um comunicado para informar as organizações sobre as falhas e a disponibilidade de soluções.
As vulnerabilidades incluem vários problemas relacionados à memória que podem ser explorados para ataques DoS, execução arbitrária de código ou para obter informações potencialmente confidenciais. Uma alta gravidade de classificação que foi atribuída a cada uma das falhas.
Os problemas foram relatados por meio da Zero Day Initiative (ZDI) da Trend Micro, que observou que a interação do usuário é necessária para explorar as vulnerabilidades, ou seja, abrir arquivos especialmente criados.
A ZDI lançou muitos avisos descrevendo variações dessas vulnerabilidades, a maioria das quais, conforme a empresa, são causadas pela falta de validação adequada para dados fornecidos pelo usuário. A ZDI publicou os avisos no final de agosto com o status de “0Day” para indicar que os patches não estavam disponíveis. No entanto, a ZDI observou na época que as correções seriam lançadas pelo fornecedor em outubro.
Este artigo é uma tradução de: https://www.securityweek.com/fuji-electric-patches-vulnerabilities-factory-monitoring-software (Autor: Eduard Kovacs)
