Οι αναλυτές απειλών έχουν αποκαλύψει τρωτά σημεία που επηρεάζουν την πλατφόρμα Open Automation Software (OAS), που οδηγούν σε πρόσβαση στη συσκευή, denial of service και απομακρυσμένη εκτέλεση κώδικα.
Η πλατφόρμα OAS (Open Automation Software) είναι μια ευρέως χρησιμοποιούμενη λύση συνδεσιμότητας δεδομένων, η οποία ενώνει βιομηχανικές συσκευές (PLC, OPC Modbus συστήματα SCADA,loT) network points, προσαρμοσμένες εφαρμογές, προσαρμοσμένα API, όπως και βάσεις δεδομένων σε ένα ολιστικό σύστημα.
Το OAS είναι μια σταθερή λύση για τη συνδεσιμότητα hardware και software που κάνει πιο εύκολη τη μεταφορά δεδομένων μεταξύ ιδιόκτητων συσκευών και εφαρμογών απο πολλούς προμηθευτές και τις συνδέει με συγκεκριμένα προιόντα.
Το OAS χρησιμοποιείται από μεγάλες βιομηχανικές εταιρείες,όπως οι Michelin, Volvo, Intel, JBT AeroTech, Dart Oil and Gas και άλλες πολλες.
Chatbot ενθάρρυνε έφηβο να σκοτώσει τους γονείς του
RT-G: Ένα... αστυνομικό ρομπότ στην Κίνα!
Το Black Basta Ransomware εξελίσσεται - Προσοχή!
Όπως όλες οι εταιρίες έτσι και το OAS έχει ευάλωτα σημεία στην πλατφόρμα που μπορούν να προκαλέσουν τον κίνδυνο διακοπής και αποκάλυψης εμπιστευτικών πληροφοριών.
Σύμφωνα με πληροφορίες της Cisco, η νέα έκδοση OAS 16.00.0112 και νεότερες είναι ευάλωτες σε μια σειρά υψηλής και κρίσιμης σοβαρότητας, που δημιουργούν την δυνατότητα για επανειλημμένες και επιβλαβείς επιθέσεις.
Ας ξεκινήσουμε λοιπόν απο το πιό κρίσιμο πρόβλημα.Το CVE-2022-26833 έχει βαθμολογία σοβαρότητας 9,4 στα 10, καθώς αφορά την πρόσβαση χωρίς έλεγχο ταυτότητας και την χρήση λειτουργικότητας REST API στο OAS.
Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτή την αδυναμία και να στείλει μια σειρά από αιτήματα HTTP στα ευάλωτα σημεία.
Όπως αναφέρει η Cisco, το REST API έχει δημιουργηθεί ώστε να παρέχει πρόσβαση μέσω προγραμματισμού για αλλαγές διαμόρφωσης και προβολή δεδομένων στον “Default” χρήστη, του οποίου οι ερευνητές κατάφεραν και έλεγξαν την ταυτότητα στέλνοντας ενα αίτημα με ένα κενό όνομα χρήστη και κωδικό πρόσβασης.
Το δεύτερο σοβαρό ελάττωμα είναι το CVE-2022-26082 με βαθμολογία 9,1 στα 10. Αυτό είναι μια file write vulnerability στο module OAS Engine SecureTransferFiles.
Σύμφωνα πάλι με την Cisco, μια σειρά αιτημάτων δικτύου που αποστέλλονται στο ευάλωτο endpoint μπορεί να οδηγήσει σε αυθαίρετη απομακρυσμένη εκτέλεση κώδικα. Αυτό σημαίνει ότι επιτρέπει σε απομακρυσμένο απειλητικό παράγοντα να ανεβάζει αρχεία authorized_keys στον κατάλογο .ssh του oauser.
Η Cisco Talos έχει ανακαλύψει αρκετά ακόμα ελαττώματα, τα οποία κατηγοριοποιούνται όλα ως υψηλής σοβαρότητας (CVSS:7.5). Ας πάμε να δούμε μερικά απο αυτά.
- CVE-2022-27169: obtain directory listing μέσω αιτημάτων δικτύου.
- CVE-2022-26077: αποκάλυψη πληροφοριών που στοχεύουν τα account credentials
- CVE-2022-26026: denial of service και απώλεια συνδέσμων δεδομένων
- CVE-2022-26303 και CVE-2022-26043: αλλαγές εξωτερικών ρυθμίσεων και δημιουργία νέων χρηστών
Η Cisco παρέχει συμβουλές mitigation για καθεμία από τις παραπάνω ευπάθειες, οι οποίες περιλαμβάνουν την απενεργοποίηση υπηρεσιών και το κλείσιμο των θυρών επικοινωνίας, επομένως, εάν η αναβάθμιση σε νεότερη έκδοση του OAS είναι αδύνατη, μπορεί να υπάρξει μια λύση με κάποιο functionality ή convenience trade-offs.
Διαφορετικά, συνιστάται η αναβάθμιση σε πιο πρόσφατη έκδοση της πλατφόρμας OAS. Οι διορθώσεις ασφαλείας για τα δύο κρίσιμα ελαττώματα που περιγράφονται παραπάνω εμφανίστηκαν στην έκδοση 16.00.0.113, η οποία κυκλοφόρησε ως ενημέρωση ασφαλείας στις 22 Μαΐου 2022.
Αναμένονται καθυστερήσεις αναβάθμισης σε βιομηχανικά περιβάλλοντα που λειτουργούν περίπλοκα και πολύπλοκα συστήματα συνδεσιμότητας δεδομένων, αλλά σε αυτήν την περίπτωση, λόγω της σοβαρότητας των ελαττωμάτων που αποκαλύπτονται, είναι σημαντικό να ληφθούν άμεσα μέτρα.
Πηγή πληροφοριών: bleepingcomputer.com