Η αμερικανική υπηρεσία κυβερνοασφάλειας CISA προειδοποιεί για δύο κρίσιμα τρωτά σημεία που επιτρέπουν την παράκαμψη ελέγχου ταυτότητας και την απομακρυσμένη εκτέλεση κώδικα σε προϊόντα Optigo Networks ONS-S8 Aggregation Switch που χρησιμοποιούνται σε κρίσιμες υποδομές.
Τα ελαττώματα αφορούν αδύναμα προβλήματα ελέγχου ταυτότητας, που επιτρέπουν την παράκαμψη απαιτήσεων κωδικού πρόσβασης και ζητήματα επικύρωσης εισαγωγής χρήστη που ενδέχεται να οδηγήσουν σε απομακρυσμένη εκτέλεση κώδικα, αυθαίρετες μεταφορτώσεις αρχείων και διέλευση καταλόγου.
Η συσκευή χρησιμοποιείται σε κρίσιμες υποδομές και κατασκευαστικές μονάδες παγκοσμίως και λαμβάνοντας υπόψη ότι τα ελαττώματα μπορούν να εκμεταλλευτούν εξ αποστάσεως με χαμηλή πολυπλοκότητα επίθεσης, ο κίνδυνος κρίνεται πολύ υψηλός.
Προς το παρόν, δεν υπάρχουν διαθέσιμες επιδιορθώσεις, επομένως συνιστάται στους χρήστες να εφαρμόζουν προτεινόμενους μετριασμούς που προτείνονται από τον Καναδό προμηθευτή.
Το πρώτο ελάττωμα παρακολουθείται ως CVE-2024-41925 και ταξινομείται ως πρόβλημα συμπερίληψης αρχείων απομακρυσμένης PHP (RFI) που οφείλεται σε λανθασμένη επικύρωση ή εξυγίανση των διαδρομών αρχείων που παρέχονται από τον χρήστη.
Ένας εισβολέας θα μπορούσε να χρησιμοποιήσει αυτήν την ευπάθεια για να πραγματοποιήσει διέλευση καταλόγου, να παρακάμψει τον έλεγχο ταυτότητας και να εκτελέσει αυθαίρετο απομακρυσμένο κώδικα.
Το δεύτερο τεύχος, παρακολουθείται ως CVE-2024-45367είναι ένα αδύναμο πρόβλημα ελέγχου ταυτότητας που προκύπτει από ακατάλληλη επιβολή επαλήθευσης κωδικού πρόσβασης στον μηχανισμό ελέγχου ταυτότητας.
Η εκμετάλλευση αυτού επιτρέπει σε έναν εισβολέα να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στη διεπαφή διαχείρισης των μεταγωγέων, να τροποποιήσει τις διαμορφώσεις, να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα ή να περιστραφεί σε άλλα σημεία δικτύου.
Και τα δύο προβλήματα ανακαλύφθηκαν από την Claroty Team82 και αξιολογήθηκαν ως κρίσιμα, με βαθμολογία CVSS v4 9,3. Οι ευπάθειες επηρεάζουν όλες τις εκδόσεις ONS-S8 Spectra Aggregation Switch έως και την έκδοση 1.3.7.
Ασφάλιση των διακοπτών
Αν και η CISA δεν έχει δει ενδείξεις για ενεργή εκμετάλλευση αυτών των ελαττωμάτων, οι διαχειριστές συστημάτων συνιστώνται να εκτελέσετε τις ακόλουθες ενέργειες για τον μετριασμό των ελαττωμάτων:
- Απομονώστε την κίνηση διαχείρισης ONS-S8 τοποθετώντας την σε ένα αποκλειστικό VLAN για να τη διαχωρίσετε από την κανονική κίνηση δικτύου και να μειώσετε την έκθεση.
- Συνδεθείτε στο OneView μόνο μέσω ενός αποκλειστικού NIC στον υπολογιστή BMS για να εξασφαλίσετε ασφαλή και αποκλειστική πρόσβαση για τη διαχείριση δικτύου OT.
- Διαμορφώστε ένα τείχος προστασίας δρομολογητή στη λίστα επιτρεπόμενων συγκεκριμένων συσκευών, περιορίζοντας την πρόσβαση στο OneView μόνο σε εξουσιοδοτημένα συστήματα και αποτρέποντας τη μη εξουσιοδοτημένη πρόσβαση.
- Χρησιμοποιήστε ένα ασφαλές VPN για όλες τις συνδέσεις στο OneView για να εξασφαλίσετε κρυπτογραφημένη επικοινωνία και να προστατεύσετε από πιθανή υποκλοπή.
- Ακολουθήστε τις οδηγίες της CISA για την ασφάλεια στον κυβερνοχώρο πραγματοποιώντας αξιολογήσεις κινδύνου, εφαρμόζοντας επίπεδα ασφάλειας (άμυνα σε βάθος) και τηρώντας τις βέλτιστες πρακτικές για την ασφάλεια ICS.
Η CISA συνιστά στους οργανισμούς που παρατηρούν ύποπτη δραστηριότητα σε αυτές τις συσκευές να ακολουθούν τα πρωτόκολλα παραβίασης και να αναφέρουν το περιστατικό στην υπηρεσία ασφάλειας στον κυβερνοχώρο, ώστε να μπορεί να παρακολουθείται και να συσχετίζεται με άλλα περιστατικά.
VIA: bleepingcomputer.com