Skip to main content

Conmutador de agregación de espectros ONS-S8 de Optigo Networks

octubre 2, 2024


Ver CSAF

1. RESUMEN EJECUTIVO

  • CVSS v4 9.3
  • ATENCIÓN: Explotable de forma remota/Baja complejidad de ataque
  • Proveedor: Redes Optigo
  • Equipo: ONS-S8 – Interruptor de agregación de espectros
  • Vulnerabilidades: Control inadecuado del nombre de archivo para la declaración Incluir/Requerir en el programa PHP («Inclusión remota de archivos PHP»), autenticación débil

2. EVALUACIÓN DE RIESGOS

La explotación exitosa de estas vulnerabilidades podría permitir a un atacante lograr la ejecución remota de código, la carga de archivos arbitrarios o eludir la autenticación.

3. DETALLES TÉCNICOS

3.1 PRODUCTOS AFECTADOS

Las siguientes versiones de ONS-S8 – Spectra Aggregation Switch, un dispositivo de administración de red OT, se ven afectadas:

  • ONS-S8 – Conmutador de agregación de espectros: 1.3.7 y anteriores

3.2 Descripción general de la vulnerabilidad

3.2.1 CONTROL INADECUADO DEL NOMBRE DE ARCHIVO PARA LA DECLARACIÓN INCLUDE/REQUIERE EN EL PROGRAMA PHP (‘INCLUSIÓN DE ARCHIVO REMOTO PHP’) CWE-98

El servicio web para ONS-S8 – Spectra Aggregation Switch incluye funciones que no validan adecuadamente la entrada del usuario, lo que permite a un atacante atravesar directorios, eludir la autenticación y ejecutar código remoto.

CVE-2024-41925 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3 de 9,8; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-41925. Se ha calculado una puntuación base de 9,3; la cadena del vector CVSS es (AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).

3.2.2 AUTENTICACIÓN DÉBIL CWE-1390

El servidor web para ONS-S8 – Spectra Aggregation Switch incluye un proceso de autenticación incompleto, lo que puede llevar a que un atacante se autentique sin contraseña.

CVE-2024-45367 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3 de 9,1; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-45367. Se ha calculado una puntuación base de 9,3; la cadena del vector CVSS es (AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N).

3.3 ANTECEDENTES

  • SECTORES DE INFRAESTRUCTURA CRÍTICA: Fabricación crítica
  • PAÍSES/ÁREAS DESPLEGADAS: Mundial
  • UBICACIÓN DE LA SEDE DE LA EMPRESA: Canadá

3.4 INVESTIGADOR

Claroty Team82 informó esta vulnerabilidad a CISA.

4. MITIGACIONES

Optigo Networks recomienda que los usuarios utilicen siempre una VLAN de administración única para el puerto del ONS-S8 que se utiliza para conectarse a OneView.

Optigo Networks también recomienda a los usuarios implementar al menos una de las siguientes mitigaciones adicionales:

  • Utilice una NIC dedicada en la computadora BMS y exclusivamente esta computadora para conectarse a OneView para administrar la configuración de su red OT.
  • Configure un firewall de enrutador con una lista blanca de los dispositivos a los que se les permite acceder a OneView.
  • Conéctese a OneView a través de una VPN segura.

CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades. CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.

CISA también proporciona una sección para prácticas recomendadas de seguridad de los sistemas de control en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluidos Mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.

CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para defensa proactiva de los activos de ICS.

Orientaciones de mitigación adicionales y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento de información técnica, ICS-TIP-12-146-01B–Estrategias específicas de mitigación y detección de intrusiones cibernéticas.

Las organizaciones que observen sospechas de actividad maliciosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.

Hasta el momento no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a estas vulnerabilidades.

5. ACTUALIZAR HISTORIAL

  • 1 de octubre de 2024: publicación inicial



Source link

Translate »