A Agência de Segurança Cibernética dos EUA (CISA) emitiu um alerta sobre duas vulnerabilidades críticas que afetam os switches Optigo Networks ONS-S8 Aggregation, amplamente utilizados em infraestruturas críticas e instalações de manufatura ao redor do mundo. Essas falhas permitem o desvio de autenticação e a execução remota de código (RCE), colocando sistemas críticos em alto risco.
As vulnerabilidades envolvem problemas de autenticação fraca e validação inadequada de entrada de usuários, permitindo a exploração remota com baixa complexidade de ataque. As consequências incluem upload arbitrário de arquivos, passagem de diretórios e execução de código malicioso.
Como ainda não há correções disponíveis, a CISA recomenda a adoção imediata de medidas de mitigação sugeridas pelo fabricante.
Detalhes das Vulnerabilidades
CVE-2024-41925: Uma falha de inclusão remota de arquivos (RFI) no PHP, causada pela validação inadequada de caminhos de arquivos fornecidos pelo usuário. Isso pode permitir que invasores realizem travessia de diretórios, ignorem a autenticação e executem código remoto.
CVE-2024-45367: Um problema de autenticação fraca decorrente da aplicação incorreta da verificação de senha, permitindo que invasores obtenham acesso não autorizado à interface de gerenciamento dos switches, modifiquem configurações e acessem dados confidenciais.
Ambas as falhas, descobertas pela equipe Claroty82, são classificadas como críticas, com uma pontuação CVSS v4 de 9,3, e afetam todas as versões do ONS-S8 Spectra Aggregation Switch até a versão 1.3.7.
Medidas de Mitigação
Embora não haja evidências de exploração ativa dessas vulnerabilidades, a CISA recomenda as seguintes ações imediatas:
Isolar o tráfego de gerenciamento: Coloque o tráfego do ONS-S8 em uma VLAN dedicada para reduzir a exposição ao tráfego de rede regular.
Usar uma NIC dedicada: Conecte-se ao OneView apenas por meio de uma interface de rede dedicada no sistema BMS, garantindo acesso seguro à rede OT.
Configurar firewalls: Implemente firewalls de roteamento para limitar o acesso ao OneView apenas a sistemas autorizados, protegendo contra acessos não autorizados.
Utilizar VPN segura: Todas as conexões com o OneView devem ser feitas por uma VPN criptografada para garantir a segurança da comunicação.
Adotar segurança em camadas: Siga as recomendações de cibersegurança da CISA, incluindo a implementação de defesa em profundidade, avaliações de risco e aderência às melhores práticas de segurança para ICS.
Ação em caso de incidentes
A CISA também orienta que as organizações monitoradas para essas vulnerabilidades sigam seus protocolos de resposta a incidentes e notifiquem a agência em caso de atividades suspeitas. Isso ajudará no rastreamento e correlação de incidentes similares.
Essas falhas representam um risco significativo para a infraestrutura crítica, e a rápida adoção das medidas de mitigação recomendadas é crucial para proteger sistemas vulneráveis.
Via - BC
Comentarios