សប្តាហ៍នេះ ភ្នាក់ងារសុវត្ថិភាព CISA អាមេរិក បានផ្តល់យោបល់លើបញ្ហាប្រព័ន្ធគ្រប់គ្រងឧស្សាហកម្ម (ICS) ដែលកំពុងតែព្រមានដល់កម្មវិធី Mitsubishi Electric GX Works3។ ភ្នាក់ងារបានថ្លែងថាៈ បញ្ហានេះអាចបណ្តាលឱ្យហេគឃ័រទទួលបានសិទ្ធិប្រើ MELSEC iQ-R/F/L series CPU modules និង MELSEC iQ-R series OPC UA server module ឬចូលមើល ថែមទាំងចូលប្រើកម្មវិធី។ GX Works3 គឺជាកម្មវិធី engineering workstation ដែលត្រូវបានប្រើនៅក្នុងមជ្ឈដ្ឋាន ICS ដើរតួជាអ្នក upload និងដោនឡូតកម្មវិធីពីអ្នកគ្រប់គ្រង, កម្មវិធីដោះស្រាយបញ្ហា និងបញ្ហាផ្នែករឹង និងអនុវត្តការថែទាំ។
តួនាទីដ៏ច្រើននេះ បានធ្វើឱ្យផ្លេតហ្វមនេះទទួលបានការពេញនិយមពីក្រុមហេគឃ័រ ដែលហេគឃ័រកំពុងតែសម្លឹងមើលដើម្បីសម្របសម្រួល ដូចប្រព័ន្ធបញ្ជាគ្រប់គ្រង PLCs។ លទ្ធផលបានបង្ហាញពីបញ្ហារក្សាទុកទិន្នន័យសម្ងាត់ជាទម្រង់ cleartext, ការប្រើ hard-coded cryptographic key, ការប្រើ hard-coded password និងបញ្ហាការការពារអត្តសញ្ញាណមិនពេញលេញ។
បញ្ហាចម្បងនៃការប្រើ CPU module និងទាញយកព័ត៌មានពី project files ដោយគ្មានការអនុញ្ញាត។ រីឯ បណ្តាញ Nozomi Networks បានរកឃើញបញ្ហា hard-coded password នៅក្នុង PLC project file ដែលអាចឱ្យហេគឃ័រប្រើ CPU module ដោយផ្ទាល់ និងរំខានដល់ដំណើរការសហគ្រាស។ ជាងនេះទៀត CISA បានបង្ហាញពីបញ្ហា DoS នៅក្នុង Mitsubishi Electric MELSEC iQ-R Series ដែលជាឬសគល់មកពីខ្វះសុពលភាពនៃការបញ្ចូលត្រឹមត្រូវ។
ពាក់ព័ន្ធនឹងការអភិវឌ្ឍនេះ ភ្នាក់ងារសុវត្ថិភាពបានបញ្ជាក់ពីបញ្ហាចំនួន៣ ដែលប៉ះពាល់ដល់ការបញ្ជាពីចម្ងាយ (Remote Compact Controller (RCC)) 972 ពី Horner Automation អាចឱ្យមានការបញ្ជាកូដពីចម្ងាយ ឬបណ្តាលឱ្យគាំងប្រព័ន្ធដំណើរការ (DoS)៕
ប្រភពព័ត៌មាន៖ ២ ធ្នូ ២០២២
ប្រែសម្រួលដោយ៖ កញ្ញា
