در گزارش منتشرشده در 15 آگوست 2024، آسیبپذیری جدی تزریق SQL Injection در سرورهای AVEVA Historian نسخههای 2020 R2 SP1 P01 تا 2023 R2 شناسایی شد. این آسیبپذیری با شناسه CVE-2024-6456 و امتیاز CVSS v4 برابر 8.5، به مهاجمان اجازه میدهد بدون نیاز به احراز هویت، به صورت خواندن و نوشتن به دادههای پایگاهداده دسترسی پیدا کنند.
مهاجمان میتوانند از طریق رابط کاربری REST دستورات مخرب SQL را اجرا کرده و به سیستم نفوذ کنند. شرکت AVEVA به شدت توصیه میکند که کاربران نسبت به نصب بهروزرسانیهای امنیتی اقدام فوری کرده و سیستمهای خود را از شبکه عمومی جدا کنند.
آژانس امنیت سایبری و زیرساختهای آمریکا (CISA) نیز استفاده از فایروال و ارتباطات امن VPN برای شبکههای کنترل و دستگاههای راه دور را پیشنهاد میکند. همچنین، بهکارگیری رویکردهای دفاع در عمق (Defense-in-Depth) و بهروزرسانی مستمر راهنماهای امنیتی، از جمله اقدامات پیشگیرانه ضروری است.
