Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Omisión de autenticación en Open Automation Software

Fecha de publicación 06/09/2023
Identificador

INCIBE-2023-0372

Importancia
4 - Alta
Recursos Afectados

Plataforma Open Automation Software, versión 18.00.0072.

Descripción

Talos ha notificado tres vulnerabilidades severidad alta que podrían provocar una autenticación arbitraria.

Solución

Establecer un usuario administrador de OAS y que la configuración se guarde inmediatamente después de la instalación de OAS Engine. Además, el acceso al servidor de configuración de OAS Engine y su tráfico debe restringirse exclusivamente a aquellos hosts autorizados para la configuración.

Detalle

Las vulnerabilidades detectadas podrían provocar que una serie de solicitudes de red especialmente diseñadas realicen una autenticación arbitraria. Un atacante podría enviar una secuencia de solicitudes o rastrear el tráfico para desencadenar estas vulnerabilidades. 

Se han asignado los identificadores CVE-2023-34353, CVE-2023-34998 y CVE-2023-31242 para estas vulnerabilidades.