A agência de cibersegurança dos EUA, CISA, está alertando sobre duas vulnerabilidades críticas que permitem a bypass de autenticação e execução de código remoto nos produtos Optigo Networks ONS-S8 Aggregation Switch, usados em infraestrutura crítica.
As falhas dizem respeito a problemas de autenticação fraca, permitindo o bypass de requisitos de senha, e problemas de validação de entrada de usuário que podem levar à execução de código remoto, uploads de arquivos arbitrários e travessia de diretórios.
O dispositivo é utilizado em unidades de infraestrutura crítica e de manufatura em todo o mundo, e considerando que as falhas são exploráveis remotamente com baixa complexidade de ataque, o risco é considerado muito alto.
Atualmente, não há correções disponíveis, então recomenda-se que os usuários apliquem as mitigações sugeridas pelo fornecedor canadense.
A primeira falha é rastreada como CVE-2024-41925 e é classificada como um problema de PHP Remote File Inclusion (RFI) decorrente de validação ou saneamento incorretos de caminhos de arquivo fornecidos pelo usuário.
Um atacante poderia usar essa vulnerabilidade para realizar traversal de diretórios, bypass de autenticação e executar código remoto arbitrário.
O segundo problema, rastreado como CVE-2024-45367, é um problema de autenticação fraca resultante da aplicação inadequada de verificação de senha no mecanismo de autenticação.
Explorar isso permite que um atacante ganhe acesso não autorizado à interface de gerenciamento dos switches, altere configurações, acesse dados sensíveis ou se desloque para outros pontos da rede.
Ambos os problemas foram descobertos pela equipe Claroty Team82 e são classificados como críticos, com uma pontuação CVSS v4 de 9.3.
As vulnerabilidades afetam todas as versões do ONS-S8 Spectra Aggregation Switch até a versão 1.3.7, inclusa.
Embora a CISA não tenha observado sinais de exploração ativa dessas falhas, recomenda-se que os administradores de sistema realizem as seguintes ações para mitigar as falhas:
-Isolar o tráfego de gerenciamento do ONS-S8, colocando-o em uma VLAN dedicada para separá-lo do tráfego de rede normal e reduzir a exposição.
-Conectar ao OneView apenas por meio de uma NIC dedicada no computador BMS para garantir acesso seguro e exclusivo para a gestão da rede OT.
-Configurar um firewall de roteador para listar apenas dispositivos específicos, limitando o acesso ao OneView apenas a sistemas autorizados e prevenindo acesso não autorizado.
-Usar uma VPN segura para todas as conexões com o OneView para garantir comunicação criptografada e proteção contra interceptação potencial.
-Seguir a orientação de cibersegurança da CISA realizando avaliações de risco, implementando segurança em camadas (defense-in-depth) e aderindo às melhores práticas para segurança de ICS.
A CISA recomenda que organizações que observem atividades suspeitas nesses dispositivos sigam seus protocolos de violação e reportem o incidente à agência de cibersegurança para que possa ser rastreado e correlacionado com outros incidentes.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...