Les chercheurs en sécurité de la société de cybersécurité Cisco Talos ont récemment découvert huit vulnérabilités dans le logiciel Open Automation (OEA) Plate-forme.
Vulnérabilités dans la plate-forme logicielle d'automatisation ouverte (CVE-2022-26082)
Les vulnérabilités pourraient être utilisées dans diverses attaques, Y compris déni de service causé par une mauvaise authentification. La plate-forme OAS facilite le transfert de données simplifié entre les appareils propriétaires et les applications (à la fois logiciel et matériel).
CVE-2022-26082 est l'un des problèmes les plus graves, permettant potentiellement à un pirate d'exécuter du code arbitraire sur l'appareil vulnérable. La faille a un score de gravité de 9.1 de 10 selon l'échelle CVSS. L'autre vulnérabilité qui a obtenu un score élevé sur l'échelle CVSS (9.4) est CVE-2022-26833, pouvant conduire à une utilisation non authentifiée de l'API REST.
Deux autres failles pourraient permettre aux acteurs de la menace d'obtenir la liste des répertoires à n'importe quel endroit avec les autorisations de l'utilisateur, ce qui pourrait être fait en envoyant une requête réseau spécifique. Ces vulnérabilités ont été attribuées CVE-2022-27169 et CVE-2022-26067.
Le reste des défauts comprend:
- CVE-2022-26077 – un problème de divulgation d'informations qui pourrait fournir à un attaquant une liste de noms d'utilisateur et de mots de passe;
- CVE-2022-26026 – un problème de déni de service qui pourrait être déclenché par une requête réseau spécialement conçue;
- CVE-2022-26303 et CVE-2022-26043 – ceux-ci pourraient permettre aux acteurs de la menace d'apporter des modifications de configuration externes, comme la création d'un nouveau groupe de sécurité sur la plate-forme et la création de nouveaux comptes d'utilisateurs de manière arbitraire.
« Cisco Talos a travaillé avec Open Automation Software pour s'assurer que ces problèmes sont résolus et qu'une mise à jour est disponible pour les clients concernés., le tout dans le respect de la politique de divulgation des vulnérabilités de Cisco," le consultatif officiel dit. En tant que mesure d'atténuation facultative, les utilisateurs peuvent s'assurer qu'une segmentation appropriée du réseau est en place.
Les produits concernés doivent être mis à jour immédiatement vers Open Automation Software OAS Platform, version 16.00.0112.