Vízügyi rendszereket érintő kritikus sérülékenységekre figyelmeztet a CISA

Az Osprey Pump Controllereket érintően több kritikus sérülékenységről adott ki riasztást az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA).

A sérülékenységben érintett vízszivattyú-vezérlők széles körben használatosak a mezőgazdaságon és iparon át a vízi közműszolgáltatókig.

A biztonsági hibák igen súlyosak, általuk egy támadó át is veheti az irányítást a sebezhető eszköz felett. “Attól függően, hogy a vezérlő hova van telepítve, egy támadó komoly zavart kelthet, akár el is zárhatja a vízellátást” – fogalmazott Gjoko Krstic, a sérülékenységeket egy helyszíni vizsgálat során feltáró  Zero Science Lab vezető biztonsági mérnöke.

Sok sérülékeny eszköz az Internet felől is elérhető, ahogy az a Zero Science Lab ügyfele esetében is így volt.

Vonatkozó sérülékenység leírások az NBSZ NKI weboldalán:

CVE-2023-28395
CVE-2023-28375
CVE-2023-28654
CVE-2023-27886
CVE-2023-27394
CVE-2023-28648
CVE-2023-28398
CVE-2023-28718
CVE-2023-28712

Nem példa nélküli, hogy vízügyi rendszerek váljanak hacker támadás áldozatává, 2021-ben zsarolóvírus támadás történt három vízügyi létesítményben, néhány hónappal korábban pedig a floridai városi vízszolgáltatónál történt incidens, amelynek során egy hacker a városi vízellátást próbálta megmérgezni.

(securityweek.com)