I ricercatori di sicurezza della società di sicurezza informatica Cisco Talos hanno recentemente scoperto otto vulnerabilità nel software di automazione aperta (OAS) piattaforma.
Vulnerabilità nella piattaforma software di automazione aperta (CVE-2022-26082)
Le vulnerabilità potrebbero essere utilizzate in vari attacchi, Compreso negazione del servizio causato da un'autenticazione impropria. La piattaforma OAS aiuta il trasferimento dei dati semplificato tra dispositivi e applicazioni proprietari (sia software che hardware).
CVE-2022-26082 è uno dei problemi più gravi, consentendo potenzialmente a un attore di minacce di eseguire codice arbitrario sul dispositivo vulnerabile. Il difetto ha un punteggio di gravità di 9.1 su 10 secondo la scala CVSS. L'altra vulnerabilità che ha ottenuto un punteggio elevato sulla scala CVSS (9.4) è CVE-2022-26833, portando potenzialmente all'uso non autenticato dell'API REST.
Altri due difetti potrebbero consentire agli attori delle minacce di entrare in possesso dell'elenco delle directory in qualsiasi posizione con le autorizzazioni dell'utente, che potrebbe essere fatto inviando una specifica richiesta di rete. Queste vulnerabilità sono state assegnate CVE-2022-27169 e CVE-2022-26067.
Il resto dei difetti include:
- CVE-2022-26077 – un problema di divulgazione di informazioni che potrebbe fornire a un utente malintenzionato un elenco di nomi utente e password;
- CVE-2022-26026 – un problema di negazione del servizio che potrebbe essere attivato da una richiesta di rete appositamente predisposta;
- CVE-2022-26303 e CVE-2022-26043 – questi potrebbero consentire agli attori delle minacce di apportare modifiche alla configurazione esterna, come la creazione di un nuovo gruppo di sicurezza sulla piattaforma e la creazione di nuovi account utente in modo arbitrario.
“Cisco Talos ha collaborato con Open Automation Software per garantire che questi problemi venissero risolti e che fosse disponibile un aggiornamento per i clienti interessati, il tutto nel rispetto della politica di divulgazione delle vulnerabilità di Cisco," il consulenza ufficiale disse. Come mitigazione facoltativa, gli utenti possono assicurarsi che sia in atto una corretta segmentazione della rete.
I prodotti interessati devono essere aggiornati immediatamente alla piattaforma OAS del software di automazione aperta, versione 16.00.0112.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: