Os analistas de ameaças divulgaram vulnerabilidades que afetam a plataforma Open Automation Software (OAS), levando ao acesso a dispositivos, negação de serviço e execução remota de código. A plataforma OAS é uma solução de conectividade de dados amplamente utilizada que une dispositivos industriais (PLCs, OPCs, Modbus), sistemas SCADA, IoTs, pontos de rede, aplicativos personalizados, APIs personalizadas e bancos de dados em um sistema holístico.
No Brasil, a plataforma é usada por inúmeras empresas, principalmente para interligar controladores Allen Bradley e Siemens, e internacionalmente por empresas como Michelin, Volvo, Intel, Marinha dos EUA, AES Wind Generation e várias outras companhias industriais de alto nível.
Por ser uma solução de conectividade de hardware e software versátil e flexível que facilita a transferência de dados entre dispositivos proprietários e aplicativos de vários fornecedores e os conecta a produtos específicos da empresa, as vulnerabilidades na plataforma podem colocar setores industriais cruciais em risco de interrupção e divulgação de informações confidenciais.
De acordo com um relatório da Cisco Talos, a plataforma OAS 16.00.0112 e versões inferiores é vulnerável a uma série de bugs de gravidade alta e crítica que criam o potencial para ataques em larga escala. Começando com a falha mais crítica, a CVE-2022-26833, cuja classificação no sistema de pontuação comum de vulnerabilidades (CVSS) é de 9.4 em 10, ela diz respeito ao acesso não autenticado e ao uso da funcionalidade da API REST no OAS. Um invasor pode desencadear a exploração dessa falha enviando uma série de solicitações HTTP especialmente criadas para os terminais vulneráveis.
Veja isso
PLCs da Rockwell vulneráveis a ataque tipo Stuxnet
Siemens corrige falhas que poderiam derrubar PLCs
Como explica a Cisco, a API REST foi projetada para fornecer acesso programático para alterações de configuração e visualização de dados ao usuário “padrão”, que os pesquisadores do Talos conseguiram autenticar enviando uma solicitação com um nome de usuário e senha em branco.
A segunda falha crítica é a CVE-2022-26082, classificado em 9.1 no CVSS, que é uma vulnerabilidade de gravação de arquivo no módulo SecureTransferFiles do OAS Engine.
De acordo com a Cisco, uma série especialmente criada de solicitações de rede enviadas ao endpoint vulnerável pode levar à execução remota de código arbitrário. “Ao enviar uma série de mensagens de configuração devidamente formatadas para a plataforma OAS, é possível fazer upload de um arquivo arbitrário para qualquer local permitido pelo usuário subjacente. Por padrão, essas mensagens podem ser enviadas para TCP/58727 e, se bem-sucedidas, serão processadas pelo usuário com permissões normais de usuário.” Isso, segundo a empresa, permite que um agente de ameaças remoto carregue novos arquivos authorized_keys para o diretório .ssh do oasuser, possibilitando o acesso ao sistema por meio de comandos ssh.
As outras falhas descobertas pelo Cisco Talos são todas categorizadas como de alta gravidade (CVSS: 7,5) e são as seguintes:
• CVE-2022-27169: obter listagem de diretórios por meio de solicitações de rede
• CVE-2022-26077: divulgação de informações visando credenciais de conta
• CVE-2022-26026: negação de serviço e perda de links de dados• CVE-2022-26303 e CVE-2022-26043: alterações de configuração externa e criação de novos usuários e grupos de segurança