BleepingComputer网站消息,威胁分析专家披露开放自动化软件(OAS)平台存在安全漏洞,可导致设备访问严重影响,拒绝服务和远程代码执行。众所周知,OAS平台是一种广泛使用的数据连接解决方??案,它将工业设备(PLC、OPC、Modbus)、SCADA系统、物联网、网络点、自定义应用程序、自定义API和数据库组合在一个整体系统中。此外,OAS平台是一个灵活的多功能硬件和软件连接解决方??案,可以方便不同供应商的专有设备和应用程序之间的数据传输,并将数据连接到公司特定的产品、定制软件等。目前,一些备受瞩目的工业包括米其林、沃尔沃、英特尔、JBTAeroTech、美国海军、达特石油和天然气、通用动力、AESWindGeneration等在内的实体都在使用OAS。鉴于OAS用户数量众多,平台中的漏洞可能会使关键工业部门面临中断和泄露机密信息的风险。严重漏洞根据CiscoTalos报告,OAS平台版本16.00.0112及以下版本容易受到一系列高严重性漏洞的攻击,这些漏洞可能导致毁灭性的网络攻击。其中最危险的是CVE-2022-26833,其严重等级为9.4(满分10),主要涉及在OAS中未经授权访问和使用RESTAPI功能。思科表示,RESTAPI旨在为“默认”用户提供配置更改和数据查看的编程访问权限,但Talos研究人员能够通过发送带有空白用户名和密码的请求来进行身份验证。不使用任何凭据进行身份验证的攻击者可以通过向易受攻击的端点发送一系列特制的HTTP请求来利用此漏洞。另一个关键漏洞被跟踪为CVE-2022-26082,评分为9.1(满分10分),这是OAS引擎的SecureTransferFiles模块中的文件写入漏洞。据思科称,向易受攻击的端点发送一系列特制网络请求可能会导致任意远程代码执行。CiscoTalos表示,通过向OAS平台发送格式正确的配置消息,可以将任意文件上传到底层用户允许的任何位置。默认情况下,这些消息可以发送到TCP/58727,如果成功,将由具有普通用户权限的用户oasuser处理。这种情况允许远程攻击者将新的authorized_keys文件上传到oasuser的.ssh目录,从而允许通过ssh命令访问系统。CiscoTalos发现的其他高危漏洞(CVSS:7.5)如下:CVE-2022-27169:通过网络请求获取目录列表CVE-2022-26077:账户凭证信息泄露CVE-2022-26026:拒绝服务和丢失数据链路CVE-2022-26303和CVE-2022-26043:外部配置更改和创建新用户和安全组针对上述漏洞,思科提供了一些缓解建议,主要包括禁用服务和关闭通信端口,如果用户不能升级到较新的版本,这些措施是一个不错的选择。当然,修复它的最好方法是升级到更新的版本。以上两个严重漏洞已在16.00.0.113版本修复。建议立即升级到最新版本。参考文章:https://www.bleepingcomputer.com/news/security/oas-platform-vulnerable-to-critical-rce-and-api-access-flaws/
