工业控制系统(ICS)使用的一个流行平台存在严重的漏洞,该漏洞允许攻击者未经授权访问设备、实行远程代码执行(RCE)或拒绝服务(DoS)攻击,并且还可能会威胁到关键基础设施的安全。
根据本周发表的一篇博文,思科Talos的研究人员在开源自动化软件(OAS)平台中发现了总共8个漏洞,其中有两个是关键性的,其中最严重的漏洞则允许攻击者在目标机器上执行任意代码。这些漏洞会影响到自动化软件OAS平台16.00.0112版本。
OAS是由一家名为OAS的公司提供的,该工具可以使专有设备和应用程序之间数据的传输变得更加容易,包括软件和硬件。根据OAS网站所说,其核心功能是提供所谓的通用数据连接器,它允许移动以及转换数据,还可以用于机器学习、数据挖掘、报告和数据可视化等关键业务。
OAS平台一直被广泛用于在一系列需要进行通信的不同的设备和软件系统中,这就是为什么它经常会出现在ICS中,还可以用于连接工业和物联网设备、SCADA系统以及自定义的应用程序和API等软件和硬件中。使用该平台的公司包括英特尔、麦克卡车、美国海军、JBT AeroTech和Michelin。
一位安全专家指出,由于大量的OAS平台在这些系统中使用,这也就解释了为什么这些漏洞可能是非常危险的,因为这些设备往往是负责公共事业和制造业等关键设备中的高度敏感的操作。
安全公司Cerberus Sentinel的安全专家在给媒体的一封电子邮件中写道,任何一个有能力使用这些设备功能的攻击者都可以对关键基础设施造成灾难性的破坏。
他说,ICS攻击中特别危险的是,它们可能不会立即显露出来,这可能会使得它们很难被发现,并可能在操作人员毫不知情的情况下对企业造成重大损失。
Clements引用了10多年前出现的并且现已闻名的Stuxnet蠕虫病毒作为例子,说明如果ICS威胁不被人注意,它可以造成多大的破坏。
他说,Stuxnet 是一个研究这些风险的很好的案例,因为它没有立即破坏它所针对的工业控制设备,而是改变了它们的功能,导致了关键的工业部件最终出现了灾难性的故障,同时向监控系统错误地报告这里一切运行正常。
在思科Talos发现的OAS的漏洞中,CVSS上评级最重要的一个(9.4)被追踪为CVE-2022-26833,或TALOS-2022-1513。研究人员说,这是OAS的REST API中的一个不适当的认证漏洞,它可能会允许攻击者发送一系列的HTTP请求,并获得对API的未经认证的使用。
然而,被研究人员认为是最严重的漏洞在CVSS上获得了9.1的评级,并被追踪为CVE-2022-26082,或TALOS-2022-1493。CVE-2022-26082是OAS引擎SecureTransferFiles功能中的一个文件写入漏洞,它可能会允许攻击者通过一系列特别设计的网络请求在目标机器上执行任意代码。
思科Talos发现的其他漏洞也获得了高危评级。可能导致DoS的漏洞被追踪为CVE-2022-26026或TALOS-2022-1491,该漏洞在该平台的OAS引擎SecureConfigValues功能中发现。它可以让攻击者创建一个特制的网络请求,从而导致通信出现问题。
研究人员写道,另外两个漏洞,CVE-2022-27169或TALOS-2022-1494和CVE-2022-26067或TALOS-2022-1492,可以让攻击者通过发送特定的网络请求,在底层用户允许的任何位置获得目录列表。
研究人员说,另一个被追踪为CVE-2022-26077或TALOS-2022-1490的信息泄露漏洞会以同样的方式进行工作。当然,这个漏洞也为攻击者提供了该平台的用户名和密码列表,可用于未来的攻击,他们说。
另外两个漏洞可以让攻击者进行外部配置的更改,包括在平台上创建任意一个新的安全组和新的用户账户。它们被追踪为CVE-2022-26303或TALOS-2022-1488,以及CVE-2022-26043或TALOS-2022-1489。
思科Talos与OAS合作修复了这些漏洞,并敦促受影响的用户尽快完成更新。研究人员指出,受影响的用户还可以通过使用适当的网络分段来缓解这些漏洞的影响,这将会使得攻击者对OAS平台的访问权限降低。
安全专家指出,尽管存在漏洞时,更新系统是防止潜在的攻击的最好的方式,但这往往不是一项简单快速的任务,特别是针对ICS运营商来说。
Clements说,事实上,由于系统的特殊性质,使工业系统脱机是一项巨大的具有破坏性的任务,这也就是为什么ICS补丁经常会被推迟几个月或几年的原因。
参考及来源:https://threatpost.com/critical-flaws-in-popular-ics-platform-can-trigger-rce/179750/