Alert!

Open Automation Software: Anmeldung ohne Nutzernamen und Kennwort möglich

Admins und Entwickler, die Open Automation Software Platform einsetzen, sollten sie aus SicherheitsgrĂĽnden aktualisieren.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen

(Bild: Photon photo/Shutterstock.com)

Lesezeit: 2 Min.

Open Automation Platform (OAS) ist ein Bindeglied für unter anderem den vereinfachten Datentransfer zwischen verschiedenen proprietären Anwendungen und Geräten. Aufgrund von acht Sicherheitslücken könnten Angreifer in verschiedenen Bereichen ansetzen und im schlimmsten Fall Schadcode ausführen.

Die OAS-Ausgabe 16.00.0113 ist aber nur gegen bestimmte Attacken abgesichert. In einigen Fällen müssen Admins Konfigurationen anpassen, um Systeme zu schützen. In den unterhalb dieser Meldung verlinkten Warnmeldungen stehen Tipps zur Absicherung.

Am gefährlichsten gelten zwei als "kritisch" eingestufte Sicherheitslücken (CVE-2022-26833, CVE-2022-26082). In einem Fall könnten Angreifer mit speziellen HTTP-Anfragen an REST API ansetzen und sich mit leerem Benutzernamen und Passwort Zugang zum Default-User verschaffen. Um das zu verhindern, müssen Admins Nutzer mit so wenig Rechten wie möglich ausstatten und deren Zugriffe über Security Groups reglementieren. Im anderen Fall könnten Angreifer mit Schadcode standardmäßig am TCP-Port 58727 ansetzen. Dafür muss aber eine Security Group mit einem Nutzer mit Upload-Rechten existieren.

Die verbleibenden Schwachstellen sind größtenteils mit dem Bedrohungsgrad "hoch" eingestuft. Nach erfolgreichen Attacken könnten Angreifer beispielsweise Datenverkehr mitschneiden oder Dienste via DoS-Attacke zum Erliegen bringen. Hier reicht es oft aus, den Zugriff auf den TCP-Port 58727 zu sperren.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)