最近在开放自动化软件(OAS)平台中发现了八个新漏洞,如果利用这些漏洞,可能会引发另一场供应链安全灾难。根据思科网络安全部门Talos的说法,这些漏洞包括两个高严重性漏洞——CVE-2022-26833(严重性评分9.4)和CVE-2022-26082(严重性评分9.1)——这可能使威胁参与者能够更改网络配置平台来创建新的安全组并运行任意代码。
该平台中发现的各种其他漏洞也可能被滥用于发送网络请求、绘制目录列表、窃取密码和发起拒绝服务攻击。
分享您对网络安全的看法,并免费获得《2022年黑客手册》。帮助我们了解企业如何为后Covid世界做准备,以及这些活动对其网络安全计划的影响。在本次调查结束时输入您的电子邮件以获取价值10.99美元/10.99英镑的bookazine。
CerberusSentinel解决方案架构副总裁ChrisClements在发表讲话时将这些缺陷描述为“当今最可怕的网络安全威胁之一”,这主要是因为许多大型工业企业都使用OAS。
它的用户包括沃尔沃、通用动力或AES,它们使用它来促进其IT环境中的数据传输。OAS被描述为对这些组织的工业物联网(IIoT)工作至关重要。
“有能力破坏或改变这些设备功能的攻击者可能会对关键基础设施造成灾难性破坏,但攻击也可能不是立即显而易见的,”克莱门茨评论道。
他将这些缺陷与Stuxnet相提并论,Stuxnet是一种已有十多年历史的蠕虫,对伊朗的核计划造成了严重破坏。该蠕虫用于破坏核设施中的某些组件,尽管这些组件发生故障,但报告称其运行正常。
更重要的是,受影响的系统对这些组织非常重要,以至于许多人推迟将它们脱机以进行修补多年。
“在某些情况下,气隙可能是一把双刃剑,”克莱门茨说。“恶意USB设备已多次被利用将恶意软件传播到气隙网络,除非特别考虑在隔离网络上执行安全补丁,否则恶意代码通常会发现自己处于可以利用的成熟环境中。”