Título: CISA emite 10 avisos de ICS detalhando vulnerabilidades e explorações - Against Invaders - Notícias de CyberSecurity para humanos.
Data: 2025-08-08 09:55:20
Autor: Inteligência Against Invaders
URL: https://datalake.azaeo.com/news-againstinvaders-com/07dd3cac6e2b9d2afc210bb6db0142d1/cisa-emite-10-avisos-de-ics-detalhando-vulnerabilidades-e-exploracoes-against-invaders-noticias-de-cybersecurity-para-humanos/37/

Intelig&ecirc;ncia Against Invaders
2025-08-08 06:47


A Ag&ecirc;ncia de Seguran&ccedil;a Cibern&eacute;tica e Infraestrutura (CISA) divulgou dez avisos de sistemas de controle industrial (ICS) em 7 de agosto de 2025, destacando vulnerabilidades cr&iacute;ticas em v&aacute;rias plataformas de automa&ccedil;&atilde;o e controle industrial.
Esses avisos representam um esfor&ccedil;o abrangente para abordar as lacunas de seguran&ccedil;a que podem afetar as opera&ccedil;&otilde;es de infraestrutura cr&iacute;tica em v&aacute;rios setores, incluindo sistemas de manufatura, energia e transporte.
CISA O &uacute;ltimo lote de avisos de sistemas de controle industrial demonstra o compromisso cont&iacute;nuo da ag&ecirc;ncia em proteger a infraestrutura cr&iacute;tica contra amea&ccedil;as de seguran&ccedil;a cibern&eacute;tica em evolu&ccedil;&atilde;o.
Os dez avisos abordam coletivamente vulnerabilidades que abrangem diferentes fornecedores e plataformas de sistemas de controle industrial, cada um apresentando desafios de seguran&ccedil;a exclusivos que exigem aten&ccedil;&atilde;o imediata de operadores industriais e profissionais de seguran&ccedil;a cibern&eacute;tica.
1. Delta Electronics DIAView (ICSA-25-219-01)
Uma falha de passagem de caminho (CWE-22) no DIAView v4.2.0.0 e anteriores permite que invasores remotos leiam ou gravem arquivos arbitr&aacute;rios.

CVE-2025-53417: CVSS v3.1 9.8; CVSS v4.0 9.3

2. Johnson controla FX80 e FX90 (ICSA-25-219-02)
Uma depend&ecirc;ncia de um componente de terceiros vulner&aacute;vel (CWE-1395) permite o comprometimento da configura&ccedil;&atilde;o.

CVE-2025-43867: CVSS v3.1 7.7; CVSS v4.0 8.4

3. Tecnologia Burk ARC Solo (ICSA-25-219-03)
A autentica&ccedil;&atilde;o ausente para fun&ccedil;&atilde;o cr&iacute;tica (CWE-306) em vers&otilde;es anteriores &agrave; v1.0.62 permite o controle por meio do endpoint de altera&ccedil;&atilde;o de senha.

CVE-2025-5095: CVSS v3 9.8; CVSS v4 9.3

4. Arena de Automa&ccedil;&atilde;o Rockwell (ICSA-25-219-04)
V&aacute;rias vulnerabilidades de execu&ccedil;&atilde;o de c&oacute;digo local devido a estouros de buffer de leitura, baseados em pilha e heap fora dos limites.

CVE-2025-7025, CVE-2025-7032, CVE-2025-7033: CVSS v3.1 7.8; CVSS v4.0 8.4

5. Pot&ecirc;ncia do pacote EMX e EG (ICSA-25-219-05)
Autentica&ccedil;&atilde;o ausente para fun&ccedil;&atilde;o cr&iacute;tica (CWE-306) na interface da Web padr&atilde;o.

CVE-2025-8284: CVSS v3.1 9.8; CVSS v4.0 9.3

6. Aplicativos m&oacute;veis Dreame Technology iOS e Android (ICSA-25-219-06)
A valida&ccedil;&atilde;o de certificado inadequada (CWE-295) permite ataques man-in-the-middle em conex&otilde;es TLS autoassinadas.

CVE-2025-8393: CVSS v3.1 7.3; CVSS v4.0 8.5

7. Inversores EG4 Electronics EG4 (ICSA-25-219-07)
Transmiss&atilde;o de texto n&atilde;o criptografado, desvio de integridade de firmware, divulga&ccedil;&atilde;o de informa&ccedil;&otilde;es por meio de discrep&acirc;ncia observ&aacute;vel e tentativas excessivas de autentica&ccedil;&atilde;o.

CVE-2025-52586: CVSS v3.1 6.9; CVSS v4.0 7.5
CVE-2025-53520: CVSS v3.1 8.8; CVSS v4.0 8.6
CVE-2025-47872: CVSS v3.1 5.8; CVSS v4.0 6.9
CVE-2025-46414: CVSS v3.1 8.1; CVSS v4.0 9.2

8. Telefones IP Yealink &amp; RPS (ICSA-25-219-08)
V&aacute;rias falhas &mdash; tentativas excessivas de autentica&ccedil;&atilde;o (CWE-307), falta de limita&ccedil;&atilde;o de taxa (CWE-770), autoriza&ccedil;&atilde;o incorreta (CWE-863) e valida&ccedil;&atilde;o de certificado inadequada (CWE-295).

CVE-2025-52916: CVSS v3 2.2; CVSS v4 2.1
CVE-2025-52917: CVSS v3 4.3; CVSS v4 5.3
CVE-2025-52918: CVSS v3 5.0; CVSS v4 5.3
CVE-2025-52919: CVSS v3 4.3; CVSS v4 5.3

9. Instant&acirc;neo Micromate (ICSA-25-148-04)
Autentica&ccedil;&atilde;o ausente para fun&ccedil;&atilde;o cr&iacute;tica (CWE-306) na porta de configura&ccedil;&atilde;o quando conectada via modem.

CVE-2025-1907: CVSS v3.1 9.8; CVSS v4.0 9.3

10. Mitsubishi Electric ICONICS e Mitsubishi Electric Products (ICSA-25-140-04)
Execu&ccedil;&atilde;o com privil&eacute;gios desnecess&aacute;rios (CWE-250) via link simb&oacute;lico no agente AlarmWorX64 Pager.

CVE-2025-0921: CVSS v3.1 6.5; CVSS v4.0 8.3
CVE-2025-7376: CVSS v3.1 5.9; CVSS v4.0 4.1

O lan&ccedil;amento de dez avisos de sistemas de controle industrial da CISA ressalta a natureza persistente e evolutiva de Amea&ccedil;as &agrave; seguran&ccedil;a cibern&eacute;tica enfrentando infraestrutura cr&iacute;tica.
As organiza&ccedil;&otilde;es que operam sistemas de controle industrial devem permanecer vigilantes na implementa&ccedil;&atilde;o de programas abrangentes de seguran&ccedil;a cibern&eacute;tica que abordem vulnerabilidades conhecidas e vetores de amea&ccedil;as emergentes.
A colabora&ccedil;&atilde;o cont&iacute;nua entre ag&ecirc;ncias governamentais, fornecedores e operadoras continua sendo essencial para manter a seguran&ccedil;a e a resili&ecirc;ncia dos sistemas de infraestrutura cr&iacute;tica que sustentam a sociedade moderna.
The Ultimate SOC-as-a-Service Pricing Guide for 2025&ndash;Baixe de gra&ccedil;a