A Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) emitiu um alerta destacando uma vulnerabilidade crítica no Hitachi Energy Asset Suite, uma plataforma amplamente utilizada em sistemas de gerenciamento de ativos de infraestruturas industriais e de energia. A falha afeta especificamente a integração com o componente Jasper Reports Server, que pode ser explorado para execução remota de código (RCE). A vulnerabilidade está catalogada como CVE-2018-18809 e recebeu uma pontuação CVSS de 9.8, indicando severidade máxima.
Segundo o aviso oficial, a falha permite que um atacante remoto não autenticado envie uma solicitação maliciosa ao Jasper Reports, levando à execução de comandos arbitrários no sistema afetado. O risco é ainda mais preocupante devido ao uso do Asset Suite em ambientes operacionais críticos (OT), como usinas de energia, redes de distribuição elétrica e outras infraestruturas essenciais. Uma exploração bem-sucedida pode comprometer não apenas dados sensíveis, mas também afetar diretamente a operação de sistemas industriais.
A CISA recomenda que as organizações que utilizam o Hitachi Energy Asset Suite, especialmente nas versões que integram o Jasper Reports 6.4.2 ou anteriores, realizem atualizações imediatas para versões corrigidas do componente ou isolem o sistema da rede externa até que mitigadores estejam em vigor. O alerta também ressalta a importância de aplicar práticas de segurança robustas em ambientes industriais, incluindo segmentação de rede, restrição de acesso remoto, uso de autenticação forte e monitoramento contínuo de tráfego suspeito.
Embora não haja evidências públicas de que a falha esteja sendo ativamente explorada, o alto grau de exposição potencial e a criticidade dos sistemas envolvidos tornam a correção imediata uma prioridade para os operadores de infraestrutura crítica.
