CRITICAL🇬🇧 English

CVE-2023-49621

Siemens SIMATIC CN 4100 – domyślne dane uwierzytelniające z uprawnieniami administratora

CVSS 9.8v3.1pub. 2024-01-09upd. 2025-12-16

W urządzeniu Siemens SIMATIC CN 4100 (wszystkie wersje poniżej V2.7) wykryto krytyczną podatność polegającą na stosowaniu domyślnych danych uwierzytelniających z uprawnieniami administratora podczas pośredniego stanu instalacji systemu. Atakujący może wykorzystać te dane do uzyskania pełnej kontroli nad urządzeniem bez żadnego uwierzytelnienia.

Pokaż oryginał (EN)

A vulnerability has been identified in SIMATIC CN 4100 (All versions < V2.7). The "intermediate installation" system state of the affected application uses default credential with admin privileges. An attacker could use the credentials to gain complete control of the affected device.

🤖 Analiza AI
Jak działa

Podczas tzw. 'intermediate installation' (pośredniego stanu instalacji) oprogramowanie urządzenia SIMATIC CN 4100 używa predefiniowanych, domyślnych danych logowania przypisanych do konta z uprawnieniami administratora. Podatność sklasyfikowana jest jako CWE-1392 (użycie domyślnych danych uwierzytelniających), co oznacza, że dane te są znane lub łatwe do odgadnięcia. Atakujący zdalnie, bez konieczności posiadania jakichkolwiek uprawnień ani interakcji użytkownika, może zalogować się do urządzenia przy użyciu tych domyślnych poświadczeń.

Skutki

Atakujący uzyskuje pełną kontrolę nad urządzeniem z uprawnieniami administratora, co umożliwia mu odczyt, modyfikację lub zniszczenie danych konfiguracyjnych oraz potencjalne zakłócenie działania systemów przemysłowych, do których urządzenie jest podłączone.

Mitygacja

Należy zaktualizować oprogramowanie układowe urządzenia SIMATIC CN 4100 do wersji V2.7 lub nowszej. Szczegółowe informacje i patche dostępne są w biuletynie bezpieczeństwa Siemens pod adresem: https://cert-portal.siemens.com/productcert/pdf/ssa-777015.pdf

Kogo dotyczy

Siemens SIMATIC CN 4100 – wszystkie wersje oprogramowania układowego poniżej V2.7

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Siemens Simatic Cn 4100

    HW
    Siemens
    wszystkie wersje
  • Siemens Simatic Cn 4100 Firmware

    OS
    Siemens
    < 2.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-40938CRITICAL9.2PL ✓ten sam produkt

Siemens SIMATIC CN 4100 — zakodowane dane uwierzytelniające w firmware

CVE-2024-32740CRITICAL9.8PL ✓ten sam produkt

Ukryte dane uwierzytelniające w Siemens SIMATIC CN 4100 (hardcoded credentials)

CVE-2024-32741CRITICAL10.0PL ✓ten sam produkt

Zakodowane na stałe hasło root w Siemens SIMATIC CN 4100

CVE-2023-29130CRITICAL9.9ten sam produkt

A vulnerability has been identified in SIMATIC CN 4100 (All versions < V2.5). Affected device consists of impr...

CVE-2026-22924HIGH8.8ten sam produkt

A vulnerability has been identified in SIMATIC CN 4100 (All versions < V5.0). The affected application does no...

CVE-2023-49621 — Siemens SIMATIC CN 4100 – domyślne dane uwierzytelniające z uprawnieniami administratora — CRITICAL 9.8 | CVEbaza.pl