工業(yè)控制系統(tǒng)（ICS）使用的一個(gè)流行平臺(tái)存在嚴(yán)重的漏洞，該漏洞允許攻擊者未經(jīng)授權(quán)訪(fǎng)問(wèn)設(shè)備、實(shí)行遠(yuǎn)程代碼執(zhí)行（RCE）或拒絕服務(wù)（DoS）攻擊，并且還可能會(huì)威脅到關(guān)鍵基礎(chǔ)設(shè)施的安全。

根據(jù)本周發(fā)表的一篇博文，思科Talos的研究人員在開(kāi)源自動(dòng)化軟件（OAS）平臺(tái)中發(fā)現(xiàn)了總共8個(gè)漏洞，其中有兩個(gè)是關(guān)鍵性的，其中最嚴(yán)重的漏洞則允許攻擊者在目標(biāo)機(jī)器上執(zhí)行任意代碼。這些漏洞會(huì)影響到自動(dòng)化軟件OAS平臺(tái)16.00.0112版本。

OAS是由一家名為OAS的公司提供的，該工具可以使專(zhuān)有設(shè)備和應(yīng)用程序之間數(shù)據(jù)的傳輸變得更加容易，包括軟件和硬件。根據(jù)OAS網(wǎng)站所說(shuō)，其核心功能是提供所謂的通用數(shù)據(jù)連接器，它允許移動(dòng)以及轉(zhuǎn)換數(shù)據(jù)，還可以用于機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘、報(bào)告和數(shù)據(jù)可視化等關(guān)鍵業(yè)務(wù)。

OAS平臺(tái)一直被廣泛用于在一系列需要進(jìn)行通信的不同的設(shè)備和軟件系統(tǒng)中，這就是為什么它經(jīng)常會(huì)出現(xiàn)在ICS中，還可以用于連接工業(yè)和物聯(lián)網(wǎng)設(shè)備、SCADA系統(tǒng)以及自定義的應(yīng)用程序和API等軟件和硬件中。使用該平臺(tái)的公司包括英特爾、麥克卡車(chē)、美國(guó)海軍、JBT AeroTech和Michelin。

處于危險(xiǎn)中的關(guān)鍵基礎(chǔ)設(shè)施

一位安全專(zhuān)家指出，由于大量的OAS平臺(tái)在這些系統(tǒng)中使用，這也就解釋了為什么這些漏洞可能是非常危險(xiǎn)的，因?yàn)檫@些設(shè)備往往是負(fù)責(zé)公共事業(yè)和制造業(yè)等關(guān)鍵設(shè)備中的高度敏感的操作。

安全公司Cerberus Sentinel的安全專(zhuān)家在給媒體的一封電子郵件中寫(xiě)道，任何一個(gè)有能力使用這些設(shè)備功能的攻擊者都可以對(duì)關(guān)鍵基礎(chǔ)設(shè)施造成災(zāi)難性的破壞。 

他說(shuō)，ICS攻擊中特別危險(xiǎn)的是，它們可能不會(huì)立即顯露出來(lái)，這可能會(huì)使得它們很難被發(fā)現(xiàn)，并可能在操作人員毫不知情的情況下對(duì)企業(yè)造成重大損失。

Clements引用了10多年前出現(xiàn)的并且現(xiàn)已聞名的Stuxnet蠕蟲(chóng)病毒作為例子，說(shuō)明如果ICS威脅不被人注意，它可以造成多大的破壞。

他說(shuō)，Stuxnet 是一個(gè)研究這些風(fēng)險(xiǎn)的很好的案例，因?yàn)樗鼪](méi)有立即破壞它所針對(duì)的工業(yè)控制設(shè)備，而是改變了它們的功能，導(dǎo)致了關(guān)鍵的工業(yè)部件最終出現(xiàn)了災(zāi)難性的故障，同時(shí)向監(jiān)控系統(tǒng)錯(cuò)誤地報(bào)告這里一切運(yùn)行正常。

漏洞詳情

在思科Talos發(fā)現(xiàn)的OAS的漏洞中，CVSS上評(píng)級(jí)最重要的一個(gè)（9.4）被追蹤為CVE-2022-26833，或TALOS-2022-1513。研究人員說(shuō)，這是OAS的REST API中的一個(gè)不適當(dāng)?shù)恼J(rèn)證漏洞，它可能會(huì)允許攻擊者發(fā)送一系列的HTTP請(qǐng)求，并獲得對(duì)API的未經(jīng)認(rèn)證的使用。

然而，被研究人員認(rèn)為是最嚴(yán)重的漏洞在CVSS上獲得了9.1的評(píng)級(jí)，并被追蹤為CVE-2022-26082，或TALOS-2022-1493。CVE-2022-26082是OAS引擎SecureTransferFiles功能中的一個(gè)文件寫(xiě)入漏洞，它可能會(huì)允許攻擊者通過(guò)一系列特別設(shè)計(jì)的網(wǎng)絡(luò)請(qǐng)求在目標(biāo)機(jī)器上執(zhí)行任意代碼。

思科Talos發(fā)現(xiàn)的其他漏洞也獲得了高危評(píng)級(jí)?？赡軐?dǎo)致DoS的漏洞被追蹤為CVE-2022-26026或TALOS-2022-1491，該漏洞在該平臺(tái)的OAS引擎SecureConfigValues功能中發(fā)現(xiàn)。它可以讓攻擊者創(chuàng)建一個(gè)特制的網(wǎng)絡(luò)請(qǐng)求，從而導(dǎo)致通信出現(xiàn)問(wèn)題。

研究人員寫(xiě)道，另外兩個(gè)漏洞，CVE-2022-27169或TALOS-2022-1494和CVE-2022-26067或TALOS-2022-1492，可以讓攻擊者通過(guò)發(fā)送特定的網(wǎng)絡(luò)請(qǐng)求，在底層用戶(hù)允許的任何位置獲得目錄列表。

研究人員說(shuō)，另一個(gè)被追蹤為CVE-2022-26077或TALOS-2022-1490的信息泄露漏洞會(huì)以同樣的方式進(jìn)行工作。當(dāng)然，這個(gè)漏洞也為攻擊者提供了該平臺(tái)的用戶(hù)名和密碼列表，可用于未來(lái)的攻擊，他們說(shuō)。

另外兩個(gè)漏洞可以讓攻擊者進(jìn)行外部配置的更改，包括在平臺(tái)上創(chuàng)建任意一個(gè)新的安全組和新的用戶(hù)賬戶(hù)。它們被追蹤為CVE-2022-26303或TALOS-2022-1488，以及CVE-2022-26043或TALOS-2022-1489。

敦促?gòu)S商更新，但可能需要時(shí)間

思科Talos與OAS合作修復(fù)了這些漏洞，并敦促受影響的用戶(hù)盡快完成更新。研究人員指出，受影響的用戶(hù)還可以通過(guò)使用適當(dāng)?shù)木W(wǎng)絡(luò)分段來(lái)緩解這些漏洞的影響，這將會(huì)使得攻擊者對(duì)OAS平臺(tái)的訪(fǎng)問(wèn)權(quán)限降低。

安全專(zhuān)家指出，盡管存在漏洞時(shí)，更新系統(tǒng)是防止?jié)撛诘墓舻淖詈玫姆绞?，但這往往不是一項(xiàng)簡(jiǎn)單快速的任務(wù)，特別是針對(duì)ICS運(yùn)營(yíng)商來(lái)說(shuō)。

Clements說(shuō)，事實(shí)上，由于系統(tǒng)的特殊性質(zhì)，使工業(yè)系統(tǒng)脫機(jī)是一項(xiàng)巨大的具有破壞性的任務(wù)，這也就是為什么ICS補(bǔ)丁經(jīng)常會(huì)被推遲幾個(gè)月或幾年的原因。

本文翻譯自：https://threatpost.com/critical-flaws-in-popular-ics-platform-can-trigger-rce/179750/如若轉(zhuǎn)載，請(qǐng)注明原文地址。