Secondo Cisco Talos, un paio di difetti critici nel software di automazione aperto (OAS) del fornitore di piattaforme dati Internet of Things industriali stanno minacciando i sistemi di controllo industriale (ICS).Fanno parte di un gruppo di otto vulnerabilità nel software OAS che il fornitore ha corretto questa settimana.Tra i difetti ce n'è uno (CVE-2022-26082) che offre agli aggressori la possibilità di eseguire in remoto codice dannoso su una macchina mirata per interromperne o alterarne il funzionamento;un altro (CVE-2022-26833) consente l'uso non autenticato di un'API (Application Programming Interface) REST per la configurazione e la visualizzazione dei dati sui sistemi.Nel suo avviso, Cisco Talos ha descritto la vulnerabilità dell'esecuzione di codice in modalità remota (RCE) con un punteggio di gravità di 9,1 su una scala di 10 punti e il difetto relativo all'API con un punteggio di 9,4.I difetti rimanenti esistono in diversi componenti della piattaforma OAS V16.00.0112.Sono stati valutati come meno gravi (con valutazioni della gravità della vulnerabilità che vanno da 4,9 a 7,5) e includevano problemi di divulgazione delle informazioni, un difetto di negazione del servizio e vulnerabilità che consentono agli aggressori di apportare modifiche non autorizzate alla configurazione e altre modifiche su vulnerabili sistemi."Cisco Talos ha collaborato con Open Automation Software per garantire che questi problemi fossero risolti e un aggiornamento fosse disponibile per i clienti interessati, il tutto in aderenza alla politica di divulgazione delle vulnerabilità di Cisco", si legge nel suo avviso.La società ha raccomandato alle organizzazioni che utilizzano il software vulnerabile di garantire che sia in atto una segmentazione della rete adeguata per ridurre al minimo l'accesso che un utente malintenzionato, che ha sfruttato le vulnerabilità, avrebbe alla rete compromessa.La piattaforma software di automazione aperta di OAS è progettata principalmente per consentire alle organizzazioni in ambienti IoT industriali di spostare i dati tra piattaforme diverse, ad esempio da un controllore logico programmabile (PLC) Allen Bradley a un PLC Siemens.Al centro della piattaforma c'è una tecnologia che l'azienda chiama Universal Data Connect che consente il flusso di dati da e tra dispositivi IoT, PLC, applicazioni e database.Per leggere l'articolo completo, visita Dark Reading.Per lasciare un commento accedi con il tuo account Urgent Comms:Accedi con il tuo account di comunicazioni urgentiO in alternativa fornisci il tuo nome, indirizzo email di seguito:L'indirizzo email non verrà pubblicato.I campi richiesti sono contrassegnati *Salva il mio nome, e-mail e sito Web in questo browser per la prossima volta che commento.Iscriviti alla newsletter di UrgentComm per ricevere regolarmente notizie e aggiornamenti informativi su Comunicazioni e Tecnologia.Impara dagli esperti le ultime tecnologie in materia di automazione, apprendimento automatico, big data e sicurezza informatica.Trova gli ultimi video e media dai leader di mercato.Vuoi raggiungere il nostro pubblico digitale e cartaceo?Scopri di più qui.