Hikvision и Rockwell Automation: уязвимости CVSS 9.8 добавлены в каталог KEV CISA

Агентство по кибербезопасности и защите инфраструктуры (CISA) только что добавило две критические уязвимости в свой каталог известных эксплуатируемых уязвимостей (KEV) — и обе имеют оценку CVSS 9.8. Речь идет об уязвимости Hikvision CVE-2017-7921 и Rockwell Automation CVE-2021-22681. Федеральные агентства теперь должны исправить их до 26 марта 2026 года, иначе столкнутся с последствиями.

Уязвимость Hikvision — это обход аутентификации в нескольких моделях IP-камер, который может позволить злоумышленникам получать доступ к прямым видеопотокам без учетных данных. Это не ново — она была впервые раскрыта в 2017 году — но она все еще существует в дикой природе, и CISA, по сути, говорит: 'хватит, уже пора это исправить'.

Между тем, уязвимость Rockwell Automation затрагивает его программное обеспечение FactoryTalk Linx, которое используется в промышленных системах управления. Это уязвимость обхода пути, которая может позволить злоумышленникам читать произвольные файлы в системе. Учитывая, что оборудование Rockwell управляет критической инфраструктурой по всему миру, это не то, на чем можно спать.

Обе уязвимости активно эксплуатируются в дикой природе, поэтому CISA присваивает им статус KEV. Обязательная оперативная директива агентства требует, чтобы федеральные гражданские исполнительные агентства исправили эти уязвимости к установленному сроку, но, честно говоря, все, кто работает в критической инфраструктуре, должны обратить на это внимание.

Время здесь интересно — CISA активно продвигает эти старые уязвимости, которые продолжают эксплуатироваться. Это ясное сообщение: если вы используете устаревшее оборудование в критических системах, вы играете с огнем. И Hikvision, и Rockwell имеют доступные исправления, так что на этом этапе действительно нет оправданий.