Investigadores de Cisco Talos detectaron múltiples vulnerabilidades críticas en Open Automation Software Platform, una solución impulsada por un conector de datos universal y que permite mover datos entre controladores lógicos programables (PLC) de diferentes proveedores, desde un PLC a una base de datos, o desde una base de datos a una visualización.
El investigador Jared Rittle fue responsable de identificar las fallas, mencionando que los ataques exitosos permitirían a los actores de amenazas realizar ataques de denegación de servicio (DoS), ejecución de código arbitrario y acceso a información confidencial.
Cisco Talos publicó un informe con detalles técnicos de cada una de las fallas, disponible para consulta pública.
A continuación se presentan breves descripciones de las vulnerabilidades reportadas, y su correspondiente clave de identificación y puntuación según el Common Vulnerability Scoring System (CVSS).
CVE-2022-26077: El software utiliza un canal de comunicación no seguro para transmitir información confidencial dentro de la funcionalidad de comunicaciones de configuración de OAS Engine, permitiendo a los hackers remotos rastrear el tráfico de la red y acceder a información confidencial.
La vulnerabilidad recibió un puntaje CVSS de 6.5/10.
CVE-2022-27169: La falta de autenticación para una función crítica en la funcionalidad OAS Engine SecureBrowseFile permitiría a los actores de amenazas remotos enviar una solicitud especialmente diseñada y revelar información confidencial.
Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 6.5/10.
CVE-2022-26082: Un problema de escritura de archivos en la funcionalidad OAS Engine SecureTransferFiles permitiría a un administrador remoto enviar solicitudes especialmente diseñadas para ejecutar código arbitrario en el sistema objetivo.
La falla recibió una puntuación CVSS de 7.9/10.
CVE-2022-26026: La falta de autenticación para una función crítica en la funcionalidad OAS Engine SecureConfigValues permitiría a los administradores remotos conducir a una condición DoS mediante una solicitud especialmente diseñada.
La falla recibió un puntaje CVSS de 6.5/10.
CVE-2022-26043: Un problema de control de configuración externo en la funcionalidad OAS Engine SecureAddSecurity permitiría a los hackers remotos enviar solicitudes especialmente diseñadas para crear grupos de seguridad personalizados, evadiendo el proceso de autenticación.
Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 6.5/10.
CVE-2022-26067: La falta de autenticación para una función crítica en la funcionalidad OAS Engine SecureTransferFiles permitiría a los administradores remotos enviar solicitudes especialmente diseñadas para leer archivos arbitrarios en el sistema afectado.
Esta es una falla de bajo riesgo y recibió un puntaje CVSS de 4.3/10.
CVE-2022-26303: La vulnerabilidad existe debido a un problema de control de configuración externo en la funcionalidad OAS Engine SecureAddUser. Un atacante remoto puede enviar una solicitud especialmente diseñada y crear una cuenta de usuario de la OEA.
La vulnerabilidad recibió un puntaje CVSS de 6.5/10.
Según el reporte, las fallas residen en Open Automation Software Platform v16.00.0112. Si bien las fallas pueden ser explotadas por actores de amenazas remotos, hasta el momento no se han detectado intentos de explotación activa; aún así, se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
