Pesquisadores de segurança da empresa de segurança cibernética Cisco Talos descobriram recentemente oito vulnerabilidades no Open Automation Software (OEA) Plataforma.
Vulnerabilidades na plataforma de software de automação aberta (CVE-2022-26082)
As vulnerabilidades podem ser usadas em vários ataques, Incluindo negação de serviço causado por autenticação imprópria. A plataforma OAS auxilia na transferência simplificada de dados entre dispositivos e aplicativos proprietários (tanto software quanto hardware).
CVE-2022-26082 é um dos problemas mais graves, potencialmente permitindo que um agente de ameaças execute código arbitrário no dispositivo vulnerável. A falha tem uma pontuação de gravidade de 9.1 fora de 10 de acordo com a escala CVSS. A outra vulnerabilidade com pontuação alta na escala CVSS (9.4) é CVE-2022-26833, potencialmente levando ao uso não autenticado da API REST.
Duas outras falhas podem permitir que os agentes de ameaças obtenham a listagem de diretórios em qualquer local com permissões do usuário, o que pode ser feito enviando uma solicitação de rede específica. Essas vulnerabilidades foram atribuídas CVE-2022-27169 e CVE-2022-26067.
O resto das falhas incluem:
- CVE-2022-26077 – um problema de divulgação de informações que pode fornecer a um invasor uma lista de nomes de usuário e senhas;
- CVE-2022-26026 – um problema de negação de serviço que pode ser acionado por uma solicitação de rede especialmente criada;
- CVE-2022-26303 e CVE-2022-26043 – isso pode permitir que os agentes de ameaças façam alterações na configuração externa, como criar um novo grupo de segurança na plataforma e criar novas contas de usuário de maneira arbitrária.
“A Cisco Talos trabalhou com o Open Automation Software para garantir que esses problemas sejam resolvidos e uma atualização esteja disponível para os clientes afetados, tudo em conformidade com a política de divulgação de vulnerabilidades da Cisco," a consultivo oficial disse. Como mitigação opcional, os usuários podem garantir que a segmentação de rede adequada esteja em vigor.
Os produtos afetados devem ser atualizados imediatamente para a Open Automation Software OAS Platform, versão 16.00.0112.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: