Muitas falhas críticas corrigidas no sistema de gerenciamento de energia da Delta Electronics
Pelo menos 30 vulnerabilidades foram encontradas no ano passado no sistema de gerenciamento de energia industrial DIAEnergie feito pela Delta Electronics. A empresa diz que criou patches para todos eles, mas por enquanto a maioria desses patches está disponível apenas sob demanda.
Em agosto de 2021, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) informou às organizações que usam o produto DIAEnergie que o pesquisador Michael Heinzl havia identificado oito vulnerabilidades, incluindo aquelas classificadas como “gravidade crítica”.
Heinzl disse à SecurityWeek na época que a exploração das vulnerabilidades poderia ter “consequências terríveis” e não havia patches do fornecedor na época.
A CISA atualizou o comunicado divulgado em agosto e nesta semana publicou um novo comunicado descrevendo mais vulnerabilidades DIAEnergie descobertas por Heinzl, bem como Dusan Stevanovic da Trend Micro Security Research, que relatou suas descobertas por meio da Zero Day Initiative (ZDI) da Trend Micro.
De acordo com os avisos da CISA, um total de 30 falhas de segurança foram encontradas na DIAEnergie. Alguns deles parecem ter sido corrigidos na versão 1.8 em setembro de 2021. No entanto, a maioria deles só foi corrigida mais recentemente com a versão 1.08.02.004, que não foi divulgada, mas está disponível sob demanda no atendimento ao cliente da Delta. O lançamento público da versão contendo todos os patches está agendado para 30 de junho de 2022, disse a CISA.
Heinzl, que publicou avisos separados para cada uma das falhas que encontrou, disse à SecurityWeek que a exploração não requer autenticação e pode permitir que um invasor assuma o controle total do DIAEnergie e dos sistemas em que está implantado.
Das 30 vulnerabilidades encontradas no DIAEnergie, 22 receberam uma classificação de “gravidade crítica” e cinco são de “alta gravidade”. A grande maioria dos problemas recém-divulgados são bugs de injeção de SQL que afetam vários componentes do aplicativo.
Depois que a primeira rodada de vulnerabilidades foi divulgada, Heinzl alertou: “As consequências das ações de um agente mal-intencionado podem ser terríveis para os clientes afetados – falsificação de dados de monitoramento, supressão de alarmes, uso do sistema como ponto de apoio inicial na infraestrutura de rede para maior articulação ou simplesmente ‘ransomwaring’ a implantação, como se tornou tão prevalente nos últimos cinco anos.”
O DIAEnergie foi projetado para ajudar as empresas a visualizar e melhorar os sistemas elétricos e de energia, principalmente os equipamentos de alto consumo. O produto é usado em todo o mundo em vários setores. Ele pode ser integrado com vários sistemas de controle industrial (ICS) e coletores de dados, incluindo medidores de energia, controladores lógicos programáveis (CLPs) e outros dispositivos Modbus.
