W urządzeniu Siemens SIMATIC CN 4100 wykryto obecność nieudokumentowanych kont użytkowników z wbudowanymi danymi uwierzytelniającymi. Podatność jest krytyczna, ponieważ atakujący może wykorzystać te dane do przejęcia kontroli nad urządzeniem bez żadnych uprawnień.
▸ Pokaż oryginał (EN)
A vulnerability has been identified in SIMATIC CN 4100 (All versions < V3.0). The affected device contains undocumented users and credentials. An attacker could misuse the credentials to compromise the device locally or over the network.
Urządzenie zawiera ukryte konta użytkowników, których istnienie nie jest udokumentowane przez producenta (CWE-798 — użycie zakodowanych na stałe danych uwierzytelniających). Atakujący posiadający wiedzę o tych poświadczeniach może użyć ich do uwierzytelnienia się w systemie — zarówno lokalnie, jak i przez sieć. Ponieważ dane uwierzytelniające są stałe i wbudowane w firmware, nie można ich zmienić w standardowy sposób.
Atakujący może uzyskać nieautoryzowany dostęp do urządzenia, co prowadzi do pełnego naruszenia jego poufności, integralności i dostępności. Możliwe jest całkowite przejęcie kontroli nad urządzeniem, zarówno zdalnie przez sieć, jak i lokalnie.
Należy zaktualizować firmware urządzenia Siemens SIMATIC CN 4100 do wersji V3.0 lub nowszej. Szczegółowe instrukcje dostępne są w biuletynie producenta: https://cert-portal.siemens.com/productcert/html/ssa-273900.html
Siemens SIMATIC CN 4100 — wszystkie wersje firmware poniżej V3.0
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSiemens Simatic Cn 4100
HWSiemenswszystkie wersjeSiemens Simatic Cn 4100 Firmware
OSSiemens< 3.0
Powiązane podatności
Siemens SIMATIC CN 4100 — zakodowane dane uwierzytelniające w firmware
Zakodowane na stałe hasło root w Siemens SIMATIC CN 4100
Siemens SIMATIC CN 4100 – domyślne dane uwierzytelniające z uprawnieniami administratora
A vulnerability has been identified in SIMATIC CN 4100 (All versions < V2.5). Affected device consists of impr...
A vulnerability has been identified in SIMATIC CN 4100 (All versions < V5.0). The affected application does no...