В OAS Platform обнаружены восемь уязвимостей

Специалисты компании Cisco Talos обнаружили восемь уязвимостей в Open Automation Software Platform, позволяющие хакерам осуществлять целый ряд вредоносных действий, в том числе авторизоваться на атакуемом устройстве и вызывать отказ в обслуживании.

OAS Platform облегчает передачу данных между различными проприетарными устройствами и приложениями, включая программное и аппаратное обеспечение.

Самой опасной из восьми уязвимостей является CVE-2022-26082, с помощью которой злоумышленники могут получить возможность выполнять на атакуемой машине произвольный код. По шкале оценивания опасности уязвимостей проблема оценена в 9,1 балла из максимальных 10. Еще более высокий балл получила CVE-2022-26833 – 9,4. Ее эксплуатация может привести к неавторизованному использованию REST API.

Уязвимости CVE-2022-27169 и CVE-2022-26067 позволяют получить список директорий в любом месте, разрешенном базовым пользователем, отправив определенный сетевой запрос.

Еще одна уязвимость раскрытия информации CVE-2022-26077 работает таким же образом, но предоставляет атакующим список имен пользователя и паролей для платформы, которые можно использовать в дальнейших атаках.

Уязвимость CVE-2022-26026 можно проэксплуатировать с помощью особым образом сконфигурированного сетевого запроса и тем самым вызвать отказ в обслуживании или отключение связи.

Еще две уязвимости (CVE-2022-26303 и CVE-2022-26043) позволяют изменить конфигурацию, в том числе создать на OAS Platform новую группу безопасности и произвольные учетные записи пользователей.

Пользователям версии OAS Platform 16.00.0112 рекомендуется как можно скорее обновить свои установки.