CRITICAL🇬🇧 English

CVE-2024-32741

Zakodowane na stałe hasło root w Siemens SIMATIC CN 4100

CVSS 10.0v3.1pub. 2024-05-14upd. 2025-08-26

Urządzenie Siemens SIMATIC CN 4100 zawiera zakodowane na stałe hasło (hard-coded password) dla uprzywilejowanego użytkownika systemowego `root` oraz bootloadera `GRUB`. Podatność jest krytyczna, ponieważ złamanie skrótu hasła daje atakującemu pełny dostęp do systemu bez żadnych dodatkowych uprawnień.

Pokaż oryginał (EN)

A vulnerability has been identified in SIMATIC CN 4100 (All versions < V3.0). The affected device contains hard coded password which is used for the privileged system user `root` and for the boot loader `GRUB` by default . An attacker who manages to crack the password hash gains root access to the device.

🤖 Analiza AI
Jak działa

W oprogramowaniu układowym urządzenia SIMATIC CN 4100 producent zdefiniował stałe, niezmienne hasło używane domyślnie dla konta `root` oraz bootloadera `GRUB`. Atakujący, który uzyska dostęp do skrótu (hash) tego hasła — np. poprzez sieć lub fizyczny dostęp do urządzenia — może podjąć próbę jego złamania metodami offline. Po pomyślnym złamaniu skrótu uzyskuje pełny dostęp root do urządzenia, obejmujący zarówno system operacyjny, jak i proces rozruchu.

Skutki

Atakujący uzyskuje pełny dostęp root do urządzenia, co umożliwia mu przejęcie całkowitej kontroli nad systemem, modyfikację konfiguracji, instalację złośliwego oprogramowania oraz potencjalne naruszenie integralności, poufności i dostępności urządzenia.

Mitygacja

Należy zaktualizować oprogramowanie układowe urządzenia Siemens SIMATIC CN 4100 do wersji V3.0 lub nowszej. Szczegółowe instrukcje dostępne są w biuletynie bezpieczeństwa Siemens SSA-273900 pod adresem: https://cert-portal.siemens.com/productcert/html/ssa-273900.html

Kogo dotyczy

Siemens SIMATIC CN 4100 — wszystkie wersje oprogramowania układowego poniżej V3.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Siemens Simatic Cn 4100

    HW
    Siemens
    wszystkie wersje
  • Siemens Simatic Cn 4100 Firmware

    OS
    Siemens
    < 3.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-40938CRITICAL9.2PL ✓ten sam produkt

Siemens SIMATIC CN 4100 — zakodowane dane uwierzytelniające w firmware

CVE-2024-32740CRITICAL9.8PL ✓ten sam produkt

Ukryte dane uwierzytelniające w Siemens SIMATIC CN 4100 (hardcoded credentials)

CVE-2023-49621CRITICAL9.8PL ✓ten sam produkt

Siemens SIMATIC CN 4100 – domyślne dane uwierzytelniające z uprawnieniami administratora

CVE-2023-29130CRITICAL9.9ten sam produkt

A vulnerability has been identified in SIMATIC CN 4100 (All versions < V2.5). Affected device consists of impr...

CVE-2026-22924HIGH8.8ten sam produkt

A vulnerability has been identified in SIMATIC CN 4100 (All versions < V5.0). The affected application does no...