Plusieurs vulnérabilités critiques et de haute gravité ont été découvertes par l'unité de recherche et de renseignement sur les menaces Talos de Cisco, affectant la plateforme Open Automation Software qui fournit des solutions de connectivité pour les dispositifs ICS ou IoT.

Le chercheur Jared Rittle qui a signalé les bogues, a trouvé que la plateforme OAS est affectée par huit vulnérabilités qui peuvent être exploitées par un attaquant pour une exécution de code arbitraire, des attaques DoS, l'obtention d'informations sensibles et d'autres objectifs.

Deux failles ont reçu une note de gravité "critique" en fonction de leur score CVSS. Il s'agit de CVE-2022-26082, une vulnérabilité d'écriture de fichier qui peut être exploitée pour l'exécution de code à distance en utilisant des requêtes réseau spécialement conçues, et de CVE-2022-26833, qui permet à un attaquant de s'authentifier en tant qu'utilisateur par défaut avec un nom d'utilisateur et un mot de passe vides envoyés à un certain point d'extrémité.

Les cinq problèmes de gravité élevée sont dus à la transmission en clair de données sensibles, à l'exposition d'informations sensibles à des attaquants non authentifiés qui peuvent envoyer des requêtes réseau spécialement conçues, à la perte de communications déclenchée par une requête malveillante et à la création de comptes d'utilisateur et de groupes de sécurité personnalisés à l'aide de messages de configuration non authentifiés.

Les utilisateurs sont encouragés à mettre à jour les produits affectés dès que possible ou d’appliquer les mesures d’atténuation publié par Talos.