日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
OAS平臺受關(guān)鍵RCE和API訪問漏洞的影響

Bleeping Computer網(wǎng)站消息,威脅分析專家披露開放自動化軟件(OAS)平臺存在安全漏洞,漏洞可導(dǎo)致設(shè)備訪問、拒絕服務(wù)和遠(yuǎn)程代碼執(zhí)行受到嚴(yán)重影響。

成都創(chuàng)新互聯(lián)公司堅(jiān)持“要么做到,要么別承諾”的工作理念,服務(wù)領(lǐng)域包括:成都做網(wǎng)站、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù),滿足客戶于互聯(lián)網(wǎng)時(shí)代的雷山網(wǎng)站設(shè)計(jì)、移動媒體設(shè)計(jì)的需求,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴!

眾所周知,OAS 平臺是一個(gè)廣泛使用的數(shù)據(jù)連接解決方案,它將工業(yè)設(shè)備(PLC、OPC、Modbus)、SCADA系統(tǒng)、物聯(lián)網(wǎng)、網(wǎng)絡(luò)點(diǎn)、自定義應(yīng)用程序、自定義 API 和數(shù)據(jù)庫結(jié)合在一個(gè)整體系統(tǒng)下。

另外,OAS平臺還是一個(gè)靈活的多功能硬件和軟件連接解決方案,能夠促使來自不同供應(yīng)商的專有設(shè)備和應(yīng)用程序之間數(shù)據(jù)傳輸,并將數(shù)據(jù)連接到公司特定的產(chǎn)品、定制軟件等。

目前,包括米其林、沃爾沃、英特爾、JBT AeroTech、美國海軍、Dart Oil and Gas、General Dynamics、AES WindGeneration等在內(nèi)的一些高知名度工業(yè)實(shí)體,都在使用 OAS。

鑒于 OAS 用戶眾多,平臺中的漏洞可能會使關(guān)鍵工業(yè)部門面臨中斷和機(jī)密信息泄露的風(fēng)險(xiǎn)。

嚴(yán)重漏洞

根據(jù)思科 Talos 的一份報(bào)告顯示,OAS 平臺 16.00.0112 及以下版本容易受到一系列高危漏洞的影響,可能會帶來破壞性的網(wǎng)絡(luò)攻擊。

其中最危險(xiǎn)的 CVE-2022-26833 漏洞,嚴(yán)重性等級為 9.4(滿分 10 分),主要涉及 OAS 中未經(jīng)授權(quán)的訪問和使用 REST API功能。

思科表示,REST API 旨在為“默認(rèn)”用戶提供對配置更改和數(shù)據(jù)查看的編程訪問權(quán)限,但 Talos
研究人員能夠通過發(fā)送一個(gè)帶有空白用戶名和密碼的請求來進(jìn)行身份驗(yàn)證。

未使用任何憑據(jù)進(jìn)行身份驗(yàn)證

攻擊者可以通過向易受攻擊的端點(diǎn),發(fā)送一系列特制的 HTTP 請求來利用該漏洞。

另外一個(gè)關(guān)鍵漏洞追蹤為 CVE-2022-26082,評級為 9.1(滿分 10 分),是 OAS 引擎 SecureTransferFiles 模塊的一個(gè)文件寫入漏洞。

據(jù)思科稱,向有漏洞的端點(diǎn)發(fā)送一系列特制的網(wǎng)絡(luò)請求可能導(dǎo)致任意遠(yuǎn)程代碼執(zhí)行。思科 Talos 表示,通過向 OAS 平臺發(fā)送格式正確的配置消息,有可能將任意文件上傳到底層用戶允許的任何位置。

默認(rèn)情況下,這些消息可以被發(fā)送到 TCP/58727,一旦成功,將由具有正常用戶權(quán)限的用戶 oasuser 處理。這種情況使得遠(yuǎn)程攻擊者能夠?qū)⑿碌腶uthorized_keys 文件上傳到 oasuser 的 .ssh 目錄中,從而可以通過 ssh 命令訪問系統(tǒng)。

Cisco Talos 發(fā)現(xiàn)的其他高嚴(yán)重性漏洞(CVSS:7.5)如下:

  • CVE-2022-27169:通過網(wǎng)絡(luò)請求獲得目錄列表
  • CVE-2022-26077:針對賬戶憑證的信息泄露
  • CVE-2022-26026:拒絕服務(wù)和丟失數(shù)據(jù)鏈接
  • CVE-2022-26303和CVE-2022-26043:外部配置更改和創(chuàng)建新用戶和安全組

針對上述漏洞,思科提供了一些緩解建議,主要包括禁用服務(wù)和關(guān)閉通信端口,如果用戶不能立刻升級到較新版本,這些措施是個(gè)不錯(cuò)的選擇。

當(dāng)然,最好的修復(fù)方式還是升級到較新版本,上述兩個(gè)關(guān)鍵漏洞已在 16.00.0.113 版本中得到修復(fù),建議立刻升級到最新版本。

參考文章:https://www.bleepingcomputer.com/news/security/oas-platform-vulnerable-to-critical-rce-and-api-access-flaws/


分享標(biāo)題:OAS平臺受關(guān)鍵RCE和API訪問漏洞的影響
轉(zhuǎn)載來源:http://www.dlmjj.cn/article/djppiic.html