A agência de segurança cibernética dos EUA, CISA, alertou na semana passada as organizações sobre vulnerabilidades críticas e de alta gravidade descobertas por pesquisadores em um produto de interface homem-máquina (HMI) fabricado pela Weintek, com sede em Taiwan.
De acordo com CISA, o produto impactado, o Weintek cMT HMI, é usado em todo o mundo, inclusive em organizações de manufatura críticas, que são consideradas parte da infraestrutura crítica. O fornecedor lançou patches para produtos da série cMT3000, cMT-HDM e cMT-FHD.
Um total de três vulnerabilidades foram encontradas na IHM pela empresa industrial de segurança cibernética TXOne Networks. Eles podem ser explorados por usuários anônimos para ignorar o processo de autenticação ou executar comandos arbitrários após fazerem login no dispositivo de destino.
“Combinando [the vulnerabilities]um invasor remoto pode obter acesso ao sistema ou executar comandos remotamente sem autenticação por meio do servidor web cuja versão do sistema operacional está listada como afetada”, disse Weintek em seu próprio consultivo semana passada.
Hank Chen, pesquisador da TXOne Networks creditado por encontrar as vulnerabilidades, disse Semana de Segurança que as falhas poderiam permitir que um invasor assumisse o controle total de uma IHM.
No entanto, Chen observou que, embora um invasor não exija nenhuma permissão especial para lançar um ataque DoS, a execução de comandos arbitrários requer a senha da IHM.
O pesquisador disse que existem algumas HMIs da Weintek impactadas que estão diretamente expostas à Internet, mas tais casos são “bastante limitados”.
TXOne publicou uma postagem no blog fornecendo detalhes técnicos para cada uma das vulnerabilidades.
Esta não é a primeira vez que pesquisadores da TXOne encontram vulnerabilidades em produtos Weintek. No início deste ano, a CISA informou as organizações sobre vários problemas identificados pela TXOne na IHM baseada em nuvem Weincloud, que poderiam permitir que um invasor manipulasse e danificasse sistemas de controle industrial (ICS), como PLCs e dispositivos de campo.
: