DIAEnergie-energiebeheersysteem vertoont kritieke lacunes


Het industriële energiemanagementsysteem (EMS) DIAEnergie van Delta Electronics vertoont in alle versies tot en met 1.7.5 in totaal acht deels kritische, veelal op afstand exploiteerbare beveiligingslacunes. Bedrijven die DIAEnergie gebruiken om de energievoorziening van hun systemen te monitoren en te controleren, moeten dringend een kijkje nemen in de recent gepubliceerde veiligheidskennisgeving van de Cybersecurity and Infrastructure Security Agency (CISA) en de daarin beschreven preventieve beschermingsmaatregelen implementeren.

Updates die de gaten eindelijk dichten, zijn volgens de CISA-kennisgeving ICSA-21-238-03 in uitvoering en moet dan zo snel mogelijk worden toegepast. Delta Electronics kondigde het pas op 15 september aan.

Zes van de acht hiaten werden als kritiek beoordeeld met een CVSS-score van 9,8 op een mogelijke 10. Afhankelijk van de hiaat, netwerkconfiguratie en bestaande beveiliging tegen ongeautoriseerde toegang (vooral via internet), kunnen bijvoorbeeld wachtwoorden in platte tekst worden onderschept, nieuwe gebruikers met beheerdersrechten toegevoegd of code uitgevoerd op basis van SQL-injecties of bestandsupload opties.

Meer gedetailleerde informatie over de beveiligingslacunes is te vinden in het CISA-advies, maar ook een Overzicht op de website van beveiligingsonderzoeker Michael Heinzl die de hiaten ontdekte en deze in april via CISA aan Delta Electronics meldde.


(ovw)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: