{"id":19307,"date":"2022-04-24T12:16:03","date_gmt":"2022-04-24T15:16:03","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19307"},"modified":"2022-04-24T12:16:33","modified_gmt":"2022-04-24T15:16:33","slug":"vulnerabilidades-criticas-afetam-o-smartptt-e-smartics","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/04\/basico\/vulnerabilidades-criticas-afetam-o-smartptt-e-smartics\/","title":{"rendered":"Vulnerabilidades cr\u00edticas afetam o SmartPTT"},"content":{"rendered":"\n<h2 class=\"page-title\"><span><span class=\"\">V\u00e1rias vulnerabilidades cr\u00edticas afetam o SmartPTT, produtos industriais SmartICS<\/span><\/span><\/h2>\n<p>\u00a0<\/p>\n<p><strong>Um pesquisador de seguran\u00e7a descobriu v\u00e1rias vulnerabilidades, incluindo aquelas classificadas como cr\u00edticas e de alta gravidade, em produtos industriais fabricados pela Elcomplus, uma empresa russa especializada em comunica\u00e7\u00f5es profissionais de r\u00e1dio e automa\u00e7\u00e3o industrial.<\/strong><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span><span class=\"\">O pesquisador Michael Heinzl descobriu um total de nove vulnerabilidades no produto SmartPTT SCADA da Elcomplus, que combina os recursos dos sistemas SCADA\/IIoT com software de despacho para sistemas de r\u00e1dio profissionais.<\/span><\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Al\u00e9m disso, parece que os produtos fabricados pela SmartICS, unidade da Elcomplus especializada em plataformas de visualiza\u00e7\u00e3o SCADA e IoT industrial, tamb\u00e9m s\u00e3o afetados por algumas das vulnerabilidades, pois compartilham c\u00f3digo.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Os produtos afetados s\u00e3o usados \u200b\u200bpor mais de 2.000 organiza\u00e7\u00f5es em 90 pa\u00edses, inclusive nos Estados Unidos, raz\u00e3o pela qual a Ag\u00eancia de Seguran\u00e7a Cibern\u00e9tica e Infraestrutura dos EUA (CISA) publicou esta semana <\/span><span>dois <\/span> <span>avisos<\/span><span> para informar as organiza\u00e7\u00f5es sobre essas vulnerabilidades. A Heinzl tamb\u00e9m divulgou <\/span><span>avisos<\/span><span> individuais p\u00fablicos para cada falha.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span><span class=\"goog-text-highlight\">A lista de falhas de seguran\u00e7a inclui passagem de caminho, script entre sites (XSS), upload arbitr\u00e1rio de arquivos, desvio de autoriza\u00e7\u00e3o, falsifica\u00e7\u00e3o de solicita\u00e7\u00e3o entre sites (CSRF) e problemas de divulga\u00e7\u00e3o de informa\u00e7\u00f5es.<\/span><\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>A explora\u00e7\u00e3o dessas vulnerabilidades pode permitir que um invasor carregue arquivos, leia ou grave arquivos arbitr\u00e1rios no sistema, obtenha credenciais armazenadas em texto n\u00e3o criptografado, execute v\u00e1rias a\u00e7\u00f5es em nome de um usu\u00e1rio, execute c\u00f3digo arbitr\u00e1rio e eleve privil\u00e9gios para acessar a funcionalidade de administrador.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Em alguns casos, a explora\u00e7\u00e3o requer autentica\u00e7\u00e3o ou intera\u00e7\u00e3o do usu\u00e1rio (por exemplo, clicar em um link ou acessar determinadas p\u00e1ginas).<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>O pesquisador relatou as vulnerabilidades ao fornecedor por meio do CISA em abril de 2021. Embora o fornecedor n\u00e3o tenha respondido muito, parece que lan\u00e7ou patches at\u00e9 o final de 2021.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Essas n\u00e3o s\u00e3o as \u00fanicas vulnerabilidades do ICS identificadas pela Heinzl. No ano passado, o pesquisador revelou falhas encontradas no software de programa\u00e7\u00e3o <\/span><span>CX-Programmer<\/span><span> PLC da gigante eletr\u00f4nica japonesa Omron,\u00a0 <\/span><span>no produto de monitoramento e opera\u00e7\u00e3o de f\u00e1brica <\/span><span>Tellus da Fuji Electric , no <\/span><span>sistema de gerenciamento de energia industrial DIAEnergie da Delta Electronics e no produto myPRO HMI\/SCADA da Empresa checa de automa\u00e7\u00e3o industrial mySCADA.<\/span><\/p>\n<p>\u00a0<\/p>\n<p>Este artigo \u00e9 uma tradu\u00e7\u00e3o de: <a href=\"https:\/\/www.securityweek.com\/several-critical-vulnerabilities-affect-smartppt-smartics-industrial-products\" target=\"_blank\" rel=\"noopener\">https:\/\/www.securityweek.com\/several-critical-vulnerabilities-affect-smartppt-smartics-industrial-products<\/a> (Autor: Eduard Kovacs)<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>V\u00e1rias vulnerabilidades cr\u00edticas afetam o SmartPTT, produtos industriais SmartICS \u00a0 Um pesquisador de seguran\u00e7a descobriu v\u00e1rias vulnerabilidades, incluindo aquelas classificadas como cr\u00edticas e de alta gravidade, em produtos industriais fabricados pela Elcomplus, uma empresa russa especializada em comunica\u00e7\u00f5es profissionais de r\u00e1dio e automa\u00e7\u00e3o industrial. \u00a0 O pesquisador Michael Heinzl descobriu um total de nove vulnerabilidades [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":19308,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,99],"tags":[],"class_list":["post-19307","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19307","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19307"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19307\/revisions"}],"predecessor-version":[{"id":19312,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19307\/revisions\/19312"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19308"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19307"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19307"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19307"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}