Aplikacja webowa urządzeń ProGauge MAGLINK LX4 CONSOLE zawiera konto użytkownika o uprawnieniach administracyjnych z hasłem, którego nie można zmienić. Oznacza to, że nieautoryzowany atakujący może uzyskać pełny dostęp administracyjny do systemu, znając to stałe hasło.
▸ Pokaż oryginał (EN)
The web application for ProGauge MAGLINK LX4 CONSOLE contains an administrative-level user account with a password that cannot be changed.
Producent wbudował w oprogramowanie układowe konto administracyjne z hasłem zakodowanym na stałe (hard-coded password), które nie może zostać zmienione przez administratora lub użytkownika systemu. Tego typu podatność (CWE-259, CWE-798) oznacza, że hasło jest identyczne we wszystkich egzemplarzach urządzenia. Atakujący, który pozna to hasło — np. poprzez analizę oprogramowania układowego lub z publicznie dostępnych źródeł — może bez przeszkód zalogować się do panelu administracyjnego przez sieć, bez potrzeby posiadania jakichkolwiek wcześniejszych uprawnień.
Atakujący uzyskuje pełny dostęp administracyjny do konsoli zarządzającej systemem pomiarowym paliwa, co może umożliwić manipulację danymi pomiarowymi, zmianę konfiguracji urządzenia lub zakłócenie działania infrastruktury stacji paliw.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (poradnik ICS CISA ICSA-24-268-04). Do czasu aktualizacji zaleca się izolację urządzeń od sieci publicznej, ograniczenie dostępu sieciowego do panelu webowego wyłącznie do zaufanych adresów IP oraz monitorowanie logów dostępu pod kątem nieautoryzowanych logowań.
Dover Fueling Solutions ProGauge MAGLINK LX Console (firmware i oprogramowanie) oraz ProGauge MAGLINK LX4 Console (firmware i oprogramowanie) — dokładne wersje wskazane w referencjach producenta (ICSA-24-268-04)
Podatność dotyczy systemów OT/ICS stosowanych w infrastrukturze stacji paliw (systemy pomiarowe zbiorników). Poradnik bezpieczeństwa został opublikowany przez CISA jako ICS Advisory ICSA-24-268-04.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XDoverfuelingsolutions Progauge Maglink Lx4 Console
HWDoverfuelingsolutionswszystkie wersjeDoverfuelingsolutions Progauge Maglink Lx4 Console Firmware
OSDoverfuelingsolutions≤ 4.17.9eDoverfuelingsolutions Progauge Maglink Lx Console
HWDoverfuelingsolutionswszystkie wersjeDoverfuelingsolutions Progauge Maglink Lx Console Firmware
OSDoverfuelingsolutions≤ 3.4.2.2.6
Powiązane podatności
Pominięcie uwierzytelnienia w ProGauge MAGLINK LX Console
Command injection w ProGauge MAGLINK LX Console — zdalne wykonanie poleceń
Command injection w konsolach ProGauge MAGLINK LX/LX4 — zdalne wykonanie poleceń
ProGauge MAGLINK LX CONSOLE does not have sufficient filtering on input fields that are used to render pages ...
Once logged in to ProGauge MAGLINK LX4 CONSOLE, a valid user can change their privileges to administrator.