A agência de cibersegurança dos EUA, CISA, está alertando sobre duas vulnerabilidades críticas que permitem a bypass de autenticação e execução de código remoto nos produtos Optigo Networks ONS-S8 Aggregation Switch, usados em infraestrutura crítica.
As falhas dizem respeito a problemas de autenticação fraca, permitindo o bypass de requisitos de senha, e problemas de validação de entrada de usuário que podem levar à execução de código remoto, uploads de arquivos arbitrários e travessia de diretórios.
O dispositivo é utilizado em unidades de infraestrutura crítica e de manufatura em todo o mundo, e considerando que as falhas são exploráveis remotamente com baixa complexidade de ataque, o risco é considerado muito alto.
Atualmente, não há correções disponíveis, então recomenda-se que os usuários apliquem as mitigações sugeridas pelo fornecedor canadense.
A primeira falha é rastreada como CVE-2024-41925 e é classificada como um problema de PHP Remote File Inclusion (RFI) decorrente de validação ou saneamento incorretos de caminhos de arquivo fornecidos pelo usuário.
Um atacante poderia usar essa vulnerabilidade para realizar traversal de diretórios, bypass de autenticação e executar código remoto arbitrário.
O segundo problema, rastreado como CVE-2024-45367, é um problema de autenticação fraca resultante da aplicação inadequada de verificação de senha no mecanismo de autenticação.
Explorar isso permite que um atacante ganhe acesso não autorizado à interface de gerenciamento dos switches, altere configurações, acesse dados sensíveis ou se desloque para outros pontos da rede.
Ambos os problemas foram descobertos pela equipe Claroty Team82 e são classificados como críticos, com uma pontuação CVSS v4 de 9.3.
As vulnerabilidades afetam todas as versões do ONS-S8 Spectra Aggregation Switch até a versão 1.3.7, inclusa.
Embora a CISA não tenha observado sinais de exploração ativa dessas falhas, recomenda-se que os administradores de sistema realizem as seguintes ações para mitigar as falhas:
-Isolar o tráfego de gerenciamento do ONS-S8, colocando-o em uma VLAN dedicada para separá-lo do tráfego de rede normal e reduzir a exposição.
-Conectar ao OneView apenas por meio de uma NIC dedicada no computador BMS para garantir acesso seguro e exclusivo para a gestão da rede OT.
-Configurar um firewall de roteador para listar apenas dispositivos específicos, limitando o acesso ao OneView apenas a sistemas autorizados e prevenindo acesso não autorizado.
-Usar uma VPN segura para todas as conexões com o OneView para garantir comunicação criptografada e proteção contra interceptação potencial.
-Seguir a orientação de cibersegurança da CISA realizando avaliações de risco, implementando segurança em camadas (defense-in-depth) e aderindo às melhores práticas para segurança de ICS.
A CISA recomenda que organizações que observem atividades suspeitas nesses dispositivos sigam seus protocolos de violação e reportem o incidente à agência de cibersegurança para que possa ser rastreado e correlacionado com outros incidentes.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...