Los investigadores de seguridad de la empresa de ciberseguridad Cisco Talos descubrieron recientemente ocho vulnerabilidades en el software de automatización abierta (OEA) Plataforma.
Vulnerabilidades en la plataforma de software de automatización abierta (CVE-2022-26082)
Las vulnerabilidades podrían ser utilizadas en varios ataques., Incluido negación de servicio causado por una autenticación incorrecta. La plataforma OAS ayuda a la transferencia de datos simplificada entre dispositivos y aplicaciones propietarios (tanto software como hardware).
CVE-2022-26082 es uno de los problemas más graves, potencialmente permitir que un actor de amenazas ejecute código arbitrario en el dispositivo vulnerable. La falla tiene una puntuación de gravedad de 9.1 de 10 según la escala CVSS. La otra vulnerabilidad que obtuvo una puntuación alta en la escala CVSS (9.4) es CVE-2022-26833, potencialmente conduce a un uso no autenticado de la API REST.
Otras dos fallas podrían permitir a los actores de amenazas obtener una lista de directorios en cualquier ubicación con permisos del usuario., lo que podría hacerse enviando una solicitud de red específica. Estas vulnerabilidades han sido asignadas CVE-2022-27169 y CVE-2022-26067.
El resto de los defectos incluyen:
- CVE-2022-26077 – un problema de divulgación de información que podría proporcionar a un atacante una lista de nombres de usuario y contraseñas;
- CVE-2022-26026 – un problema de denegación de servicio que podría desencadenarse por una solicitud de red especialmente diseñada;
- CVE-2022-26303 y CVE-2022-26043 – estos podrían permitir a los actores de amenazas realizar cambios de configuración externos, como crear un nuevo grupo de seguridad en la plataforma y crear nuevas cuentas de usuario de manera arbitraria.
“Cisco Talos trabajó con Open Automation Software para garantizar que estos problemas se resuelvan y que haya una actualización disponible para los clientes afectados., todo en cumplimiento de la política de divulgación de vulnerabilidades de Cisco," el asesor oficial dijo. Como mitigación opcional, los usuarios pueden asegurarse de que existe una segmentación de red adecuada.
Los productos afectados deben actualizarse inmediatamente a Open Automation Software OAS Platform, versión 16.00.0112.