Plataforma OAS vulnerável a bugs críticos de acesso RCE e API

Da Redação
27/05/2022

Os analistas de ameaças divulgaram vulnerabilidades que afetam a plataforma Open Automation Software (OAS), levando ao acesso a dispositivos, negação de serviço e execução remota de código. A plataforma OAS é uma solução de conectividade de dados amplamente utilizada que une dispositivos industriais (PLCs, OPCs, Modbus), sistemas SCADA, IoTs, pontos de rede, aplicativos personalizados, APIs personalizadas e bancos de dados em um sistema holístico.

No Brasil, a plataforma é usada por inúmeras empresas, principalmente para interligar controladores Allen Bradley e Siemens, e internacionalmente por empresas como Michelin, Volvo, Intel, Marinha dos EUA, AES Wind Generation e várias outras companhias industriais de alto nível.

Por ser uma solução de conectividade de hardware e software versátil e flexível que facilita a transferência de dados entre dispositivos proprietários e aplicativos de vários fornecedores e os conecta a produtos específicos da empresa, as vulnerabilidades na plataforma podem colocar setores industriais cruciais em risco de interrupção e divulgação de informações confidenciais.

De acordo com um relatório da Cisco Talos, a plataforma OAS 16.00.0112 e versões inferiores é vulnerável a uma série de bugs de gravidade alta e crítica que criam o potencial para ataques em larga escala. Começando com a falha mais crítica, a CVE-2022-26833,  cuja classificação no sistema de pontuação comum de vulnerabilidades (CVSS) é de 9.4 em 10, ela diz respeito ao acesso não autenticado e ao uso da funcionalidade da API REST no OAS. Um invasor pode desencadear a exploração dessa falha enviando uma série de solicitações HTTP especialmente criadas para os terminais vulneráveis.

Veja isso
PLCs da Rockwell vulneráveis a ataque tipo Stuxnet
Siemens corrige falhas que poderiam derrubar PLCs

Como explica a Cisco, a API REST foi projetada para fornecer acesso programático para alterações de configuração e visualização de dados ao usuário “padrão”, que os pesquisadores do Talos conseguiram autenticar enviando uma solicitação com um nome de usuário e senha em branco.

A segunda falha crítica é a CVE-2022-26082, classificado em 9.1 no CVSS, que é uma vulnerabilidade de gravação de arquivo no módulo SecureTransferFiles do OAS Engine. 

De acordo com a Cisco, uma série especialmente criada de solicitações de rede enviadas ao endpoint vulnerável pode levar à execução remota de código arbitrário. “Ao enviar uma série de mensagens de configuração devidamente formatadas para a plataforma OAS, é possível fazer upload de um arquivo arbitrário para qualquer local permitido pelo usuário subjacente. Por padrão, essas mensagens podem ser enviadas para TCP/58727 e, se bem-sucedidas, serão processadas pelo usuário com permissões normais de usuário.” Isso, segundo a empresa, permite que um agente de ameaças remoto carregue novos arquivos authorized_keys para o diretório .ssh do oasuser, possibilitando o acesso ao sistema por meio de comandos ssh.

As outras falhas descobertas pelo Cisco Talos são todas categorizadas como de alta gravidade (CVSS: 7,5) e são as seguintes:

• CVE-2022-27169: obter listagem de diretórios por meio de solicitações de rede

• CVE-2022-26077: divulgação de informações visando credenciais de conta

• CVE-2022-26026: negação de serviço e perda de links de dados• CVE-2022-26303 e CVE-2022-26043: alterações de configuração externa e criação de novos usuários e grupos de segurança

Compartilhar: