本文來自嘶吼網(wǎng),作者/陽光。
工業(yè)控制系統(tǒng)(ICS)使用的一個流行平臺存在嚴重的漏洞,該漏洞允許攻擊者未經(jīng)授權(quán)訪問設備、實行遠程代碼執(zhí)行(RCE)或拒絕服務(DoS)攻擊,并且還可能會威脅到關(guān)鍵基礎設施的安全。
根據(jù)本周發(fā)表的一篇博文,思科Talos的研究人員在開源自動化軟件(OAS)平臺中發(fā)現(xiàn)了總共8個漏洞,其中有兩個是關(guān)鍵性的,其中最嚴重的漏洞則允許攻擊者在目標機器上執(zhí)行任意代碼。這些漏洞會影響到自動化軟件OAS平臺16.00.0112版本。
OAS是由一家名為OAS的公司提供的,該工具可以使專有設備和應用程序之間數(shù)據(jù)的傳輸變得更加容易,包括軟件和硬件。根據(jù)OAS網(wǎng)站所說,其核心功能是提供所謂的通用數(shù)據(jù)連接器,它允許移動以及轉(zhuǎn)換數(shù)據(jù),還可以用于機器學習、數(shù)據(jù)挖掘、報告和數(shù)據(jù)可視化等關(guān)鍵業(yè)務。
OAS平臺一直被廣泛用于在一系列需要進行通信的不同的設備和軟件系統(tǒng)中,這就是為什么它經(jīng)常會出現(xiàn)在ICS中,還可以用于連接工業(yè)和物聯(lián)網(wǎng)設備、SCADA系統(tǒng)以及自定義的應用程序和API等軟件和硬件中。使用該平臺的公司包括英特爾、麥克卡車、美國海軍、JBT AeroTech和Michelin。
處于危險中的關(guān)鍵基礎設施
一位安全專家指出,由于大量的OAS平臺在這些系統(tǒng)中使用,這也就解釋了為什么這些漏洞可能是非常危險的,因為這些設備往往是負責公共事業(yè)和制造業(yè)等關(guān)鍵設備中的高度敏感的操作。
安全公司Cerberus Sentinel的安全專家在給媒體的一封電子郵件中寫道,任何一個有能力使用這些設備功能的攻擊者都可以對關(guān)鍵基礎設施造成災難性的破壞。
他說,ICS攻擊中特別危險的是,它們可能不會立即顯露出來,這可能會使得它們很難被發(fā)現(xiàn),并可能在操作人員毫不知情的情況下對企業(yè)造成重大損失。
Clements引用了10多年前出現(xiàn)的并且現(xiàn)已聞名的Stuxnet蠕蟲病毒作為例子,說明如果ICS威脅不被人注意,它可以造成多大的破壞。
他說,Stuxnet是一個研究這些風險的很好的案例,因為它沒有立即破壞它所針對的工業(yè)控制設備,而是改變了它們的功能,導致了關(guān)鍵的工業(yè)部件最終出現(xiàn)了災難性的故障,同時向監(jiān)控系統(tǒng)錯誤地報告這里一切運行正常。
漏洞詳情
在思科Talos發(fā)現(xiàn)的OAS的漏洞中,CVSS上評級最重要的一個(9.4)被追蹤為CVE-2022-26833,或TALOS-2022-1513。研究人員說,這是OAS的REST API中的一個不適當?shù)恼J證漏洞,它可能會允許攻擊者發(fā)送一系列的HTTP請求,并獲得對API的未經(jīng)認證的使用。
然而,被研究人員認為是最嚴重的漏洞在CVSS上獲得了9.1的評級,并被追蹤為CVE-2022-26082,或TALOS-2022-1493。CVE-2022-26082是OAS引擎SecureTransferFiles功能中的一個文件寫入漏洞,它可能會允許攻擊者通過一系列特別設計的網(wǎng)絡請求在目標機器上執(zhí)行任意代碼。
思科Talos發(fā)現(xiàn)的其他漏洞也獲得了高危評級??赡軐е翫oS的漏洞被追蹤為CVE-2022-26026或TALOS-2022-1491,該漏洞在該平臺的OAS引擎SecureConfigValues功能中發(fā)現(xiàn)。它可以讓攻擊者創(chuàng)建一個特制的網(wǎng)絡請求,從而導致通信出現(xiàn)問題。
研究人員寫道,另外兩個漏洞,CVE-2022-27169或TALOS-2022-1494和CVE-2022-26067或TALOS-2022-1492,可以讓攻擊者通過發(fā)送特定的網(wǎng)絡請求,在底層用戶允許的任何位置獲得目錄列表。
研究人員說,另一個被追蹤為CVE-2022-26077或TALOS-2022-1490的信息泄露漏洞會以同樣的方式進行工作。當然,這個漏洞也為攻擊者提供了該平臺的用戶名和密碼列表,可用于未來的攻擊,他們說。
另外兩個漏洞可以讓攻擊者進行外部配置的更改,包括在平臺上創(chuàng)建任意一個新的安全組和新的用戶賬戶。它們被追蹤為CVE-2022-26303或TALOS-2022-1488,以及CVE-2022-26043或TALOS-2022-1489。
敦促廠商更新,但可能需要時間
思科Talos與OAS合作修復了這些漏洞,并敦促受影響的用戶盡快完成更新。研究人員指出,受影響的用戶還可以通過使用適當?shù)木W(wǎng)絡分段來緩解這些漏洞的影響,這將會使得攻擊者對OAS平臺的訪問權(quán)限降低。
安全專家指出,盡管存在漏洞時,更新系統(tǒng)是防止?jié)撛诘墓舻淖詈玫姆绞?,但這往往不是一項簡單快速的任務,特別是針對ICS運營商來說。
Clements說,事實上,由于系統(tǒng)的特殊性質(zhì),使工業(yè)系統(tǒng)脫機是一項巨大的具有破壞性的任務,這也就是為什么ICS補丁經(jīng)常會被推遲幾個月或幾年的原因。
本文翻譯自:https://threatpost.com/critical-flaws-in-popular-ics-platform-can-trigger-rce/179750/如若轉(zhuǎn)載,請注明原文地址