Er zijn meerdere beveiligingslekken ontdekt in gaschromatografen van Emerson Rosemount die door kwaadwillende partijen kunnen worden misbruikt om gevoelige informatie te verkrijgen, een denial-of-service (DoS)-situatie te veroorzaken en zelfs willekeurige opdrachten uit te voeren.
De fouten hebben betrekking op GC370XA, GC700XA en GC1500XA en bevinden zich in versies 4.1.5 en ouder.
Volgens het operationele technologie (OT) beveiligingsbedrijf Claroty omvatten de kwetsbaarheden twee gebreken aan commando-injectie en twee afzonderlijke authenticatie- en autorisatiekwetsbaarheden die door niet-geverifieerde aanvallers kunnen worden bewapend om een breed scala aan kwaadaardige acties uit te voeren, variërend van authenticatie-bypass tot commando-injectie.
“Als deze kwetsbaarheden succesvol worden uitgebuit, kan een niet-geverifieerde aanvaller met netwerktoegang willekeurige opdrachten uitvoeren, toegang krijgen tot gevoelige informatie, een denial-of-service-situatie veroorzaken en authenticatie omzeilen om beheerdersrechten te verkrijgen”, aldus het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) in een advies dat in januari werd uitgebracht.
De chromatograaf, die wordt gebruikt voor het uitvoeren van kritische gasmetingen, kan worden geconfigureerd en beheerd door middel van een software genaamd MON. De software kan ook worden gebruikt om kritische gegevens op te slaan en rapporten te genereren, zoals chromatogrammen, alarmgeschiedenis, gebeurtenislogboeken en onderhoudslogboeken.
Claroty’s analyse van de firmware en het gepatenteerde protocol dat wordt gebruikt voor communicatie tussen het apparaat en de Windows-client met de naam MON2020, heeft de volgende tekortkomingen aan het licht gebracht:
- CVE-2023-46687 (CVSS-score: 9,8) – Een niet-geverifieerde gebruiker met netwerktoegang kan willekeurige opdrachten uitvoeren in de rootcontext vanaf een externe computer
- CVE-2023-49716 (CVSS-score: 6,9) – Een geauthenticeerde gebruiker met netwerktoegang kan willekeurige opdrachten uitvoeren vanaf een externe computer
- CVE-2023-51761 (CVSS-score: 8,3) – Een niet-geverifieerde gebruiker met netwerktoegang kan de authenticatie omzeilen en beheerdersmogelijkheden verkrijgen door het bijbehorende wachtwoord opnieuw in te stellen
- CVE-2023-43609 (CVSS-score: 6,9) – Een niet-geverifieerde gebruiker met netwerktoegang kan toegang krijgen tot gevoelige informatie of een denial-of-service-toestand veroorzaken
Na verantwoorde openbaarmaking heeft Emerson een bijgewerkte versie van de firmware uitgebracht (pdf) die de kwetsbaarheden verhelpt. Het bedrijf raadt eindgebruikers ook aan om de best practices op het gebied van cyberbeveiliging te volgen en ervoor te zorgen dat de getroffen producten niet rechtstreeks aan internet worden blootgesteld.
De onthulling komt op het moment dat Nozomi Networks verschillende tekortkomingen in AiLux RTU62351B heeft beschreven die kunnen worden misbruikt om toegang te krijgen tot gevoelige bronnen op het apparaat, de configuratie ervan te wijzigen en zelfs de uitvoering van willekeurige opdrachten als root te bewerkstelligen. De kwetsbaarheden worden gezamenlijk I11USION genoemd.
Er zijn ook beveiligingslekken vastgesteld in Proges Plus-temperatuurbewakingsapparaten en de bijbehorende software, met name Sensor Net Connect en Thermoscan IP. Deze zouden beheerdersrechten kunnen verlenen voor cruciale medische systemen, waardoor kwaadwillenden de systeeminstellingen kunnen manipuleren, malware kunnen installeren en gegevens kunnen stelen.
Deze kwetsbaarheden, die nog steeds niet zijn verholpen, kunnen ook resulteren in een DoS-toestand van de medische monitoringinfrastructuur, wat kan leiden tot bederf van temperatuurgevoelige medicijnen en vaccins.
