Sicherheitsforscher des Cybersicherheitsunternehmens Cisco Talos haben kürzlich acht Schwachstellen in der Open Automation Software entdeckt (OAS) Plattform.
Schwachstellen in der Open Automation Software Platform (CVE-2022-26082)
Die Sicherheitslücken könnten bei verschiedenen Angriffen ausgenutzt werden, Inklusive Denial-of-Service- durch unsachgemäße Authentifizierung verursacht. Die OAS-Plattform unterstützt den vereinfachten Datentransfer zwischen proprietären Geräten und Anwendungen (sowohl Soft- als auch Hardware).
CVE-2022-26082 ist eines der schwerwiegendsten Probleme, Dadurch kann ein Angreifer möglicherweise willkürlichen Code auf dem anfälligen Gerät ausführen. Der Fehler hat einen Schweregrad von 9.1 von 10 gemäß der CVSS-Skala. Die andere Schwachstelle, die auf der CVSS-Skala eine hohe Punktzahl erzielte (9.4) ist CVE-2022-26833, was möglicherweise zu einer nicht authentifizierten Verwendung der REST-API führt.
Zwei weitere Schwachstellen könnten es Angreifern ermöglichen, Verzeichnislisten an beliebigen Orten mit Berechtigungen des Benutzers zu erhalten, Dies könnte durch Senden einer bestimmten Netzwerkanforderung erfolgen. Diesen Schwachstellen wurden CVE-2022-27169 und CVE-2022-26067 zugewiesen.
Der Rest der Mängel sind:
- CVE-2022-26077 – ein Problem der Offenlegung von Informationen, das einem Angreifer eine Liste mit Benutzernamen und Kennwörtern liefern könnte;
- CVE-2022-26026 – ein Denial-of-Service-Problem, das durch eine speziell gestaltete Netzwerkanfrage ausgelöst werden könnte;
- CVE-2022-26303 und CVE-2022-26043 – Diese könnten Bedrohungsakteuren ermöglichen, externe Konfigurationsänderungen vorzunehmen, B. das Erstellen einer neuen Sicherheitsgruppe auf der Plattform und das Erstellen neuer Benutzerkonten auf beliebige Weise.
„Cisco Talos hat mit Open Automation Software zusammengearbeitet, um sicherzustellen, dass diese Probleme behoben werden und ein Update für betroffene Kunden verfügbar ist, alles unter Einhaltung der Cisco-Richtlinie zur Offenlegung von Schwachstellen," das offizielle Beratungs sagte. Als optionale Minderung, Benutzer können sicherstellen, dass eine ordnungsgemäße Netzwerksegmentierung vorhanden ist.
Betroffene Produkte sollten umgehend auf Open Automation Software OAS Platform aktualisiert werden, Version 16.00.0112.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: