日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
OAS平臺受關鍵RCE和API訪問漏洞的影響

Bleeping Computer網(wǎng)站消息,威脅分析專家披露開放自動化軟件(OAS)平臺存在安全漏洞,漏洞可導致設備訪問、拒絕服務和遠程代碼執(zhí)行受到嚴重影響。

成都創(chuàng)新互聯(lián)公司堅持“要么做到,要么別承諾”的工作理念,服務領域包括:成都做網(wǎng)站、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務,滿足客戶于互聯(lián)網(wǎng)時代的雷山網(wǎng)站設計、移動媒體設計的需求,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡建設合作伙伴!

眾所周知,OAS 平臺是一個廣泛使用的數(shù)據(jù)連接解決方案,它將工業(yè)設備(PLC、OPC、Modbus)、SCADA系統(tǒng)、物聯(lián)網(wǎng)、網(wǎng)絡點、自定義應用程序、自定義 API 和數(shù)據(jù)庫結合在一個整體系統(tǒng)下。

另外,OAS平臺還是一個靈活的多功能硬件和軟件連接解決方案,能夠促使來自不同供應商的專有設備和應用程序之間數(shù)據(jù)傳輸,并將數(shù)據(jù)連接到公司特定的產(chǎn)品、定制軟件等。

目前,包括米其林、沃爾沃、英特爾、JBT AeroTech、美國海軍、Dart Oil and Gas、General Dynamics、AES WindGeneration等在內(nèi)的一些高知名度工業(yè)實體,都在使用 OAS。

鑒于 OAS 用戶眾多,平臺中的漏洞可能會使關鍵工業(yè)部門面臨中斷和機密信息泄露的風險。

嚴重漏洞

根據(jù)思科 Talos 的一份報告顯示,OAS 平臺 16.00.0112 及以下版本容易受到一系列高危漏洞的影響,可能會帶來破壞性的網(wǎng)絡攻擊。

其中最危險的 CVE-2022-26833 漏洞,嚴重性等級為 9.4(滿分 10 分),主要涉及 OAS 中未經(jīng)授權的訪問和使用 REST API功能。

思科表示,REST API 旨在為“默認”用戶提供對配置更改和數(shù)據(jù)查看的編程訪問權限,但 Talos
研究人員能夠通過發(fā)送一個帶有空白用戶名和密碼的請求來進行身份驗證。

未使用任何憑據(jù)進行身份驗證

攻擊者可以通過向易受攻擊的端點,發(fā)送一系列特制的 HTTP 請求來利用該漏洞。

另外一個關鍵漏洞追蹤為 CVE-2022-26082,評級為 9.1(滿分 10 分),是 OAS 引擎 SecureTransferFiles 模塊的一個文件寫入漏洞。

據(jù)思科稱,向有漏洞的端點發(fā)送一系列特制的網(wǎng)絡請求可能導致任意遠程代碼執(zhí)行。思科 Talos 表示,通過向 OAS 平臺發(fā)送格式正確的配置消息,有可能將任意文件上傳到底層用戶允許的任何位置。

默認情況下,這些消息可以被發(fā)送到 TCP/58727,一旦成功,將由具有正常用戶權限的用戶 oasuser 處理。這種情況使得遠程攻擊者能夠?qū)⑿碌腶uthorized_keys 文件上傳到 oasuser 的 .ssh 目錄中,從而可以通過 ssh 命令訪問系統(tǒng)。

Cisco Talos 發(fā)現(xiàn)的其他高嚴重性漏洞(CVSS:7.5)如下:

  • CVE-2022-27169:通過網(wǎng)絡請求獲得目錄列表
  • CVE-2022-26077:針對賬戶憑證的信息泄露
  • CVE-2022-26026:拒絕服務和丟失數(shù)據(jù)鏈接
  • CVE-2022-26303和CVE-2022-26043:外部配置更改和創(chuàng)建新用戶和安全組

針對上述漏洞,思科提供了一些緩解建議,主要包括禁用服務和關閉通信端口,如果用戶不能立刻升級到較新版本,這些措施是個不錯的選擇。

當然,最好的修復方式還是升級到較新版本,上述兩個關鍵漏洞已在 16.00.0.113 版本中得到修復,建議立刻升級到最新版本。

參考文章:https://www.bleepingcomputer.com/news/security/oas-platform-vulnerable-to-critical-rce-and-api-access-flaws/


網(wǎng)頁題目:OAS平臺受關鍵RCE和API訪問漏洞的影響
當前路徑:http://m.5511xx.com/article/djppiic.html