Beveiligingsonderzoekers van cyberbeveiligingsbedrijf Cisco Talos hebben onlangs acht kwetsbaarheden ontdekt in de Open Automation Software (OAS) Platform.
Kwetsbaarheden in het Open Automation Software Platform (CVE-2022-26082)
De kwetsbaarheden kunnen bij verschillende aanvallen worden gebruikt, Inclusief denial-of-service veroorzaakt door onjuiste authenticatie. Het OAS-platform ondersteunt de vereenvoudigde gegevensoverdracht tussen propriëtaire apparaten en applicaties (zowel software als hardware).
CVE-2022-26082 is een van de ernstigste problemen, mogelijk toestaan dat een dreigingsactor willekeurige code op het kwetsbare apparaat uitvoert. De fout heeft een ernstscore van 9.1 uit 10 volgens de CVSS-schaal. De andere kwetsbaarheid die hoog scoorde op de CVSS-schaal (9.4) is CVE-2022-26833, mogelijk leidend tot niet-geverifieerd gebruik van de REST API.
Twee andere tekortkomingen zouden het mogelijk kunnen maken dat dreigingsactoren op elke locatie met toestemmingen van de gebruiker de directory-lijst in handen krijgen, wat kan worden gedaan door een specifiek netwerkverzoek te verzenden. Deze kwetsbaarheden zijn toegewezen aan CVE-2022-27169 en CVE-2022-26067.
De rest van de gebreken omvatten::
- CVE-2022-26077 – een probleem met het vrijgeven van informatie waardoor een aanvaller een lijst met gebruikersnamen en wachtwoorden kan krijgen;
- CVE-2022-26026 – een denial-of-service-probleem dat kan worden veroorzaakt door een speciaal ontworpen netwerkverzoek;
- CVE-2022-26303 en CVE-2022-26043 – deze kunnen bedreigingsactoren in staat stellen externe configuratiewijzigingen aan te brengen, zoals het creëren van een nieuwe beveiligingsgroep op het platform en het maken van nieuwe gebruikersaccounts op een willekeurige manier.
“Cisco Talos werkte met Open Automation Software om ervoor te zorgen dat deze problemen worden opgelost en dat er een update beschikbaar is voor getroffen klanten, alles in overeenstemming met Cisco's beleid inzake openbaarmaking van kwetsbaarheden," de officieel adviesorgaan zei. Als optionele beperking, gebruikers kunnen ervoor zorgen dat de juiste netwerksegmentatie aanwezig is.
Betreffende producten moeten onmiddellijk worden bijgewerkt naar Open Automation Software OAS Platform, versie 16.00.0112.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: