Krytyczna podatność w oprogramowaniu Unitronics Unilogic umożliwia nieuwierzytelnionemu atakującemu zdalne ominięcie mechanizmu uwierzytelnienia. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — atakujący nie potrzebuje żadnych uprawnień ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
CWE-287: Improper Authentication may allow Authentication Bypass
Podatność wynika z nieprawidłowej implementacji mechanizmu uwierzytelnienia (CWE-287: Improper Authentication). Atakujący zdalny, bez posiadania jakichkolwiek danych uwierzytelniających, może obejść procedury weryfikacji tożsamości w aplikacji. Ze względu na wektor sieciowy (AV:N) i brak wymaganych uprawnień (PR:N), exploitacja jest możliwa bezpośrednio przez sieć bez konieczności wcześniejszego dostępu do systemu.
Udana exploitacja pozwala atakującemu uzyskać nieautoryzowany dostęp do systemu z potencjalnie pełną kontrolą nad poufnością, integralnością i dostępnością danych oraz funkcji aplikacji, co odpowiada maksymalnemu wpływowi wskazanemu przez CVSS (C:H/I:H/A:H) z rozszerzonym zakresem oddziaływania (S:C).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Rekomenduje się również ograniczenie dostępu sieciowego do systemów Unilogic poprzez firewall oraz izolację środowisk OT/ICS od sieci publicznych do czasu wdrożenia aktualizacji.
Oprogramowanie Unitronics Unilogic — wersje wskazane w referencjach producenta
Podatność dotyczy oprogramowania Unitronics Unilogic stosowanego w środowiskach przemysłowych (ICS/OT). Szczegółowe informacje zostały opublikowane przez izraelski organ rządowy (gov.il). Ze względu na krytyczną ocenę CVSS 10.0 i zastosowanie w infrastrukturze przemysłowej, zaleca się pilne działania nawet przy braku potwierdzonych przypadków exploitacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HUnitronics Unilogic
APPUnitronics< 1.35.227
Powiązane podatności
Path Traversal w Unitronics Unilogic umożliwiający RCE
Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-200: Exposure of Sensitive Information to ...
Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-23: Relative Path Traversal
Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-22: 'Path Traversal' may allow RCE
Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-78: 'OS Command Injection' may allow RCE