サイバーセキュリティ会社CiscoTalosのセキュリティ研究者は、最近、OpenAutomationSoftwareに8つの脆弱性を発見しました。 (OAS) プラットホーム.
OpenAutomationソフトウェアプラットフォームの脆弱性 (CVE-2022-26082)
脆弱性はさまざまな攻撃に使用される可能性があります, 含む サービス拒否 不適切な認証が原因. OASプラットフォームは、独自のデバイスとアプリケーション間の簡素化されたデータ転送を支援します (ソフトウェアとハードウェアの両方).
CVE-2022-26082は最も深刻な問題の1つです, 脅威アクターが脆弱なデバイス上で任意のコードを実行できる可能性. 欠陥の重大度スコアは 9.1 から 10 CVSSスケールによると. CVSSスケールで高得点を獲得した他の脆弱性 (9.4) CVE-2022-26833です, RESTAPIの認証されていない使用につながる可能性があります.
他の2つの欠陥により、脅威アクターは、ユーザーの許可を得て、任意の場所でディレクトリリストを入手できる可能性があります。, これは、特定のネットワーク要求を送信することで実行できます. これらの脆弱性には、CVE-2022-27169およびCVE-2022-26067が割り当てられています。.
残りの欠陥には次のものがあります:
- CVE-2022-26077 – 攻撃者にユーザー名とパスワードのリストを提供する可能性のある情報開示の問題;
- CVE-2022-26026 – 特別に細工されたネットワークリクエストによって引き起こされる可能性のあるサービス拒否の問題;
- CVE-2022-26303およびCVE-2022-26043 – これらにより、脅威アクターが外部構成を変更できる可能性があります, プラットフォーム上に新しいセキュリティグループを作成したり、任意の方法で新しいユーザーアカウントを作成したりするなど.
「CiscoTalosはOpenAutomationSoftwareと協力して、これらの問題が解決され、影響を受けるお客様がアップデートを利用できるようにしました。, すべてシスコの脆弱性開示ポリシーに準拠しています,」 公式アドバイザリー 言った. オプションの緩和策として, ユーザーは、適切なネットワークセグメンテーションが実施されていることを確認できます.
影響を受ける製品は、Open AutomationSoftwareOASプラットフォームにすぐに更新する必要があります, バージョン 16.00.0112.