พบช่องโหว่ใน OAS ของระบบอุตสาหกรรมหลายรายการ !! 

ช่องโหว่แรกที่พบคือ CVE-2022-26082 (ความรุนแรง 9.1) ทำให้ผู้ไม่ประสงค์ดีสามารถรันโค้ดที่เป็นอันตราย 
จากระยะไกลบนเครื่องเป้าหมายเพื่อขัดขวางหรือเปลี่ยนแปลงการทำงาน และช่องโหว่ CVE-2022-26833  
(ความรุนแรง 9.4) ช่วยให้สามารถใช้ REST Application Programming Interface (API) โดยไม่ผ่านการตรวจสอบสิทธิ์สำหรับการกำหนดค่าและการดูข้อมูลบนระบบ  

ข้อบกพร่องอื่นๆ ที่ Cisco Talos ค้นพบนั้นจัดอยู่ในประเภทที่มีความรุนแรงสูง (CVSS: 7.5) และมีดังต่อไปนี้: 

  • CVE-2022-27169 : รับรายการไดเรกทอรีผ่านคำขอเครือข่าย 
  • CVE-2022-26077 : การเปิดเผยข้อมูลที่กำหนดเป้าหมายไปยังข้อมูลประจำตัวของบัญชี 
  • CVE-2022-26026 : การปฏิเสธการบริการและการสูญหายของการเชื่อมโยงข้อมูล 
  • CVE-2022-26303 และ CVE-2022-26043 : การเปลี่ยนแปลงการกำหนดค่าภายนอกและการสร้างผู้ใช้ใหม่  

ซึ่งแพลตฟอร์มที่ได้รับผลกระทบคือ OAS V16.000.0112 และต่ำกว่า 

Open Automation Software (OAS) ออกแบบมาเพื่อให้องค์กร สามารถย้ายข้อมูลระหว่างแพลตฟอร์มต่างๆ  ตัวอย่างเช่น อุปกรณ์อุตสาหกรรม (PLC, OPC, Modbus), ระบบ SCADA, IoTs, Network Points, แอปพลิเคชันแบบกำหนดเอง, API แบบกำหนดเอง และฐานข้อมูลภายใต้ Holistic System โดยศูนย์กลางของแพลตฟอร์มคือเทคโนโลยีที่บริษัทเรียกว่า Universal Data Connect ซึ่งช่วยให้สามารถรับส่งข้อมูลจากและระหว่างอุปกรณ์ IoT, PLC, แอปพลิเคชัน และฐานข้อมูล โดย OAS อธิบายเทคโนโลยีของตนว่ามีประโยชน์สำหรับการบันทึกข้อมูลใน ICS และสำหรับการรวบรวมข้อมูลจากแหล่งที่มาที่แตกต่างกัน 

คำแนะนำ 

  • อัพเดต OAS ให้เป็นเวอร์ชันล่าสุดทันที (16.00.0.113) 

หากไม่สามารถอัพเดตได้ทันที ให้ดำเนินการดังต่อไปนี้ : 

  • กำหนดสิทธิ์การเข้าถึงเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้น และกำหนดสิทธิ์การเข้าถึงบัญชีผู้ใช้ 
  • ปิดการใช้งาน Port ที่ไม่จำเป็น 

Ref: https://www.darkreading.com/application-security/critical-oas-bugs-industrial-takeover 

Share