Múltiples vulnerabilidades críticas de RCE en Open Automation Software (OAS) 

Cisco Talos ha reportado un nuevo aviso de seguridad sobre ocho vulnerabilidades en Open Automation Software (OAS), que permitirían a un atacante realizar ejecución remota de código (RCE), denegación de servicio (DoS), entre otros. 

Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Crítica”, y 6 (seis) de severidad “Alta”. Las cuales se detallan a continuación: 

• CVE-2022-26833, de severidad crítica, con una puntuación asignada de 9.4. Esta vulnerabilidad se debe a una falla en la inadecuada autenticación en la API REST en OAS Platform V16.00.012. Un atacante autenticado podría explotar esta vulnerabilidad para enviar una serie de solicitudes HTTP para obtener el uso no autenticado de la API. 

• CVE-2022-26082, de severidad crítica, con una puntuación asignada de 9.1. Esta vulnerabilidad se debe a la funcionalidad SecureTransferFiles de escritura de archivos en el motor de OAS. Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad para enviar solicitudes de red especialmente diseñadas logrando desencadenar la ejecución remota de código (RCE). 

• CVE-2022-26026, de severidad alta, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla en la funcionalidad OAS Engine SecureConfigValues de la plataforma. Un atacante podría aprovechar esta vulnerabilidad para crear solicitudes de red especialmente diseñadas y realizar denegación de servicios (DoS). 

Para acceder a la lista completa de las vulnerabilidades subsanadas, acceder a este enlace. 

El producto afectado de Open Automation Software es: 

• OAS Platform, versión 16.00.0112.  

Se recomienda acceder a la actualización que serán proporcionados por Open Automation Software en el siguiente enlace: 

• https://openautomationsoftware.com/downloads/ 

Adicionalmente, sugerimos seguir las siguientes instrucciones de mitigación para la vulnerabilidad considerada más importante por Cisco Talos CVE-2022-26082: 

CVE-2022-26832(Vulnerabilidad de RCE) 

• Restringir el acceso al puerto de configuración (TCP/58727 por defecto) cuando no se configura activamente la Plataforma OAS. 
• Utilizar cuenta de usuario dedicada para la ejecución de la plataforma de la OAS. 

Referencias: 

• https://threatpost.com/critical-flaws-in-popular-ics-platform-can-trigger-rce/179750/ 
• https://nvd.nist.gov/vuln/detail/CVE-2022-26833 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-26082 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26026 
• https://openautomationsoftware.com/downloads/ 

• https://talosintelligence.com/vulnerability_reports/TALOS-2022-1493