Mais de uma dúzia de vulnerabilidades corrigidas recentemente pela GE em seu produto Cimplicity são reminiscentes de ataques de sistemas de controle industrial (ICS) conduzidos por um notório grupo de hackers russos.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) publicou na terça-feira um comunicado para informar os usuários sobre as vulnerabilidades encontradas na interface homem-máquina Cimplicity (HMI) da GE e no produto de aquisição de dados e controle de supervisão (SCADA), que é usado por grandes organizações em todo o mundo, inclusive em setores críticos de infraestrutura.
O comunicado da CISA descreve CVE-2023-3463que foi atribuído a uma série de falhas que podem ser exploradas para execução de código arbitrário.
A GE lançou um patch e observou: “A exploração só é possível se um usuário autenticado com acesso local ao sistema obtiver e abrir um documento de uma fonte maliciosa, portanto, a implantação segura e o gerenciamento de acesso forte pelos usuários são essenciais”.
Michael Heinzl, o pesquisador de segurança cibernética do ICS que descobriu as vulnerabilidades, disse Cibersegurança Notícias que, embora apenas um identificador CVE tenha sido atribuído – o fornecedor aparentemente insistiu nisso -, na verdade, há um total de 14 vulnerabilidades de corrupção de memória, incluindo ponteiro não inicializado, leitura fora dos limites, gravação fora dos limites, uso após bugs de estouro de buffer livre e baseado em heap.
Heinzl relatou suas descobertas ao fornecedor, por meio da CISA, em dezembro de 2022, e apontou que a GE levou muito tempo para corrigir essas e outras vulnerabilidades.
O pesquisador publicou trabalhos individuais avisos para cada uma das 14 falhas em seu site. Ele disse que cada vulnerabilidade pode ser explorada para execução de código arbitrário fazendo com que um usuário legítimo abra um arquivo de projeto .cim especialmente criado e observou que o ataque funciona na configuração padrão do produto contra todas as versões.
De acordo com o especialista, a pasta de instalação do aplicativo contém uma subpasta chamada ‘No_DEP’, que inclui uma cópia de um binário do aplicativo afetado que tem a Prevenção de Execução de Dados (DEP) desabilitada. A exploração é mais fácil contra organizações que dependem desse binário específico.
O pesquisador disse que as últimas vulnerabilidades do GE Cimplicity são reminiscentes de ataques conduzidos há uma década por um grupo de hackers patrocinado pelo estado russo chamado Sandworm, mais conhecido por seus ataques disruptivos ao setor de energia da Ucrânia.
A Trend Micro relatou em 2014 que o grupo Sandworm tinha como alvo organizações que usavam o produto Cimplicity e a operação envolvia o uso de arquivos .cim como vetores de ataque.
A CISA na época emitiu um alerta às organizações.
da agência análiseque foi atualizado em 2021, mostrou que os invasores exploraram uma vulnerabilidade Cimplicity rastreada como CVE-2014-0751 para “fazer com que o servidor HMI execute um arquivo .cim malicioso [Cimplicity screen file] hospedado em um servidor controlado por um invasor”. Os invasores usaram arquivos .cim para implantar o malware BlackEnergy.
: