Hikvision жана Rockwell Automation: CVSS 9.8 кемчиликтери CISA KEV каталогуна кошулду

Киберкоопсуздук жана инфраструктураны коргоо агентствосу (CISA) эки критикалык кемчиликти белгилүү пайдаланылган кемчиликтер каталогуна (KEV) кошту — жана экөө тең CVSS 9.8 баасына ээ. Бул Hikvision CVE-2017-7921 жана Rockwell Automation CVE-2021-22681 кемчиликтери тууралуу. Федералдык агентстволор азыр 2026-жылдын 26-мартына чейин буларды оңдош керек, болбосо натыйжаларга дуушар болушу мүмкүн.

Hikvision кемчилиги — бул бир нече IP-камера моделдериндеги аутентификацияны айланып өтүү кемчилиги, ал кол салуучуларга аккредитациясыз түздөн-түз видео тармактарга кирүүгө мүмкүндүк бере алат. Бул жаңы эмес — ал биринчи жолу 2017-жылы ачылган — бирок ал дагы эле жапайы табиятта бар, жана CISA негизинен 'жетиштүү, муну оңдоп кой' деп айтып жатат.

Ошол эле учурда, Rockwell Automation кемчилиги анын FactoryTalk Linx программалык камсыздоосун таасир этет, ал өнөр жай башкаруу системдеринде колдонулат. Бул жолду айланып өтүү кемчилиги, ал кол салуучуларга системадагы каалаган файлдарды окууга мүмкүндүк бере алат. Rockwell жабдуулары бүткүл дүйнөдөгү критикалык инфраструктураны иштеткендиктен, бул уктап калууга боло турган нерсе эмес.

Эки кемчилик тең жапайы табиятта активдүү пайдаланылууда, ошондуктан CISA аларга KEV мамилесин берет. Агентствонун милдеттүү оперативдик директивасы федералдык жарандык аткаруу бутактарындагы агентстволорго белгиленген мөөнөткө чейин буларды оңдоону талап кылат, бирок чындыгында, критикалык инфраструктурадагы ар бир адам буга көңүл бурушу керек.

Бул жердеги убакыт кызыктуу — CISA пайдаланылып жаткан бул эски кемчиликтерди күчтүү түрдө түртүп жатат. Бул ачык билдирүү: эгер сиз критикалык системдерде эскирген жабдууларды иштетсеңиз, сиз от менен ойнойсуз. Hikvision да, Rockwell да оңдоолорду сунушташат, ошондуктан бул жерде чындыгында эч кандай себеп жок.