Oprogramowanie Unitronics VisiLogic przed wersją 9.9.00, stosowane w sterownikach PLC i panelach HMI z serii Vision i Samba, zawiera domyślne hasło administracyjne. Nieuwierzytelniony atakujący z dostępem sieciowym może przejąć pełną kontrolę administracyjną nad podatnym urządzeniem.
▸ Pokaż oryginał (EN)
Unitronics VisiLogic before version 9.9.00, used in Vision and Samba PLCs and HMIs, uses a default administrative password. An unauthenticated attacker with network access can take administrative control of a vulnerable system.
Podatność wynika z użycia zakodowanego na stałe (hardcoded) domyślnego hasła administratora w oprogramowaniu VisiLogic (CWE-798, CWE-1188). Ponieważ hasło to jest takie samo we wszystkich instalacjach i nie jest wymuszana jego zmiana, atakujący może bez żadnego uwierzytelnienia zalogować się do urządzenia przez sieć, podając znane domyślne poświadczenia. Mechanizm ochrony dostępu jest w praktyce nieaktywny, co klasyfikuje podatność jako pełny Auth Bypass.
Atakujący uzyskuje pełną kontrolę administracyjną nad urządzeniem — może modyfikować logikę sterowania PLC, zmieniać parametry procesów przemysłowych, wyłączać urządzenia lub instalować złośliwe konfiguracje, co stanowi poważne zagrożenie dla ciągłości działania infrastruktury przemysłowej (OT/ICS).
Należy zaktualizować oprogramowanie VisiLogic do wersji 9.9.00 lub nowszej. Dodatkowo należy niezwłocznie zmienić domyślne hasło administratora na silne i unikalne. Zalecane jest również ograniczenie dostępu sieciowego do urządzeń Unitronics poprzez segmentację sieci OT oraz stosowanie VPN dla zdalnego dostępu. Szczegółowe wskazówki zawiera poradnik bezpieczeństwa producenta oraz alert CISA.
Unitronics VisiLogic przed wersją 9.9.00 stosowany w sterownikach PLC i panelach HMI z serii Vision (w tym Vision1210, Vision1040, Vision700) oraz Samba
CISA opublikowała alert (28.11.2023) dotyczący aktywnego wykorzystania tej podatności w atakach na systemy wodociągowe i kanalizacyjne (Water and Wastewater Systems). Podatność jest aktywnie eksploitowana w środowiskach infrastruktury krytycznej.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HUnitronics Samba 3.5
HWUnitronicswszystkie wersjeUnitronics Samba 3.5 Firmware
OSUnitronics< 12.38Unitronics Samba 4.3
HWUnitronicswszystkie wersjeUnitronics Samba 4.3 Firmware
OSUnitronics< 12.38Unitronics Samba 7
HWUnitronicswszystkie wersjeUnitronics Samba 7 Firmware
OSUnitronics< 12.38Unitronics Visilogic
APPUnitronics< 9.9.00Unitronics Vision1040
HWUnitronicswszystkie wersjeUnitronics Vision1040 Firmware
OSUnitronics< 12.38Unitronics Vision120
HWUnitronicswszystkie wersjeUnitronics Vision120 Firmware
OSUnitronics< 12.38Unitronics Vision1210
HWUnitronicswszystkie wersjeUnitronics Vision1210 Firmware
OSUnitronics< 12.38Unitronics Vision130
HWUnitronicswszystkie wersjeUnitronics Vision130 Firmware
OSUnitronics< 12.38Unitronics Vision230
HWUnitronicswszystkie wersjeUnitronics Vision230 Firmware
OSUnitronics< 12.38Unitronics Vision280
HWUnitronicswszystkie wersjeUnitronics Vision280 Firmware
OSUnitronics< 12.38Unitronics Vision290
HWUnitronicswszystkie wersjeUnitronics Vision290 Firmware
OSUnitronics< 12.38Unitronics Vision350
HWUnitronicswszystkie wersjeUnitronics Vision350 Firmware
OSUnitronics< 12.38Unitronics Vision430
HWUnitronicswszystkie wersjeUnitronics Vision430 Firmware
OSUnitronics< 12.38Unitronics Vision530
HWUnitronicswszystkie wersjeUnitronics Vision530 Firmware
OSUnitronics< 12.38Unitronics Vision560
HWUnitronicswszystkie wersjeUnitronics Vision560 Firmware
OSUnitronics< 12.38Unitronics Vision570
HWUnitronicswszystkie wersje
CISA KEV — szczegółyi
- Dostawcai
- Unitronics
- Produkti
- Vision PLC and HMI
- Data dodania do KEVi
- 11 grudnia 2023
- Termin remediation (USA)i
- 18 grudnia 2023(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Kontrolery PLC i interfejsy HMI serii Unitronics Vision są dostarczane z niezabezpieczonym domyślnym hasłem, które w przypadku braku zmiany może umożliwić atakującym wykonanie zdalnych poleceń.
▸ Pokaż oryginał (EN)
Unitronics Vision Series PLCs and HMIs ship with an insecure default password, which if left unchanged, can allow attackers to execute remote commands.
Powiązane podatności
Embedded malicious code vulnerability in Vision1210, in the build 5 of operating system version 4.3, which cou...
Unitronics Vision PLC – CWE-703: Improper Check or Handling of Exceptional Conditions may allow denial of serv...
Path Traversal w Unitronics Unilogic umożliwiający RCE
Pominięcie uwierzytelnienia w Unitronics Unilogic (Authentication Bypass)
Stack-based buffer overflow in Unitronics VisiLogic OPLC IDE before 9.8.30 allows remote attackers to execute ...