Sikkerhedsforskere fra cybersikkerhedsfirmaet Cisco Talos opdagede for nylig otte sårbarheder i Open Automation Software (OAS) Platform.
Sårbarheder i Open Automation Software Platform (CVE-2022-26082)
Sårbarhederne kan bruges i forskellige angreb, Herunder Servicenægtelse forårsaget af forkert godkendelse. OAS-platformen hjælper med den forenklede dataoverførsel mellem proprietære enheder og applikationer (både software og hardware).
CVE-2022-26082 er et af de mest alvorlige problemer, potentielt tillader en trusselaktør at udføre vilkårlig kode på den sårbare enhed. Fejlen har en sværhedsgrad på 9.1 ud af 10 i henhold til CVSS-skalaen. Den anden sårbarhed, der scorede højt på CVSS-skalaen (9.4) er CVE-2022-26833, potentielt føre til uautoriseret brug af REST API.
To andre fejl kunne gøre det muligt for trusselsaktører at få fat i en katalogliste på et hvilket som helst sted med tilladelser fra brugeren, hvilket kunne gøres ved at sende en specifik netværksanmodning. Disse sårbarheder er blevet tildelt CVE-2022-27169 og CVE-2022-26067.
Resten af fejlene inkluderer:
- CVE-2022-26077 – et problem med afsløring af oplysninger, der kunne give en angriber en liste over brugernavne og adgangskoder;
- CVE-2022-26026 – et denial-of-service-problem, der kunne udløses af en specielt udformet netværksanmodning;
- CVE-2022-26303 og CVE-2022-26043 – disse kunne give trusselsaktører mulighed for at foretage eksterne konfigurationsændringer, såsom at oprette en ny sikkerhedsgruppe på platformen og oprette nye brugerkonti på en vilkårlig måde.
"Cisco Talos arbejdede med Open Automation Software for at sikre, at disse problemer er løst, og en opdatering er tilgængelig for berørte kunder, alt sammen i overensstemmelse med Ciscos politik for offentliggørelse af sårbarheder," det officielle rådgivende sagde. Som en valgfri afhjælpning, brugere kan sikre, at den korrekte netværkssegmentering er på plads.
Berørte produkter skal straks opdateres til Open Automation Software OAS Platform, udgave 16.00.0112.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: