CRITICAL🇬🇧 English

CVE-2024-45275

Zakodowane na stałe dane logowe w urządzeniach Mbconnectline i Helmholz

CVSS 9.8v3.1pub. 2024-10-15upd. 2024-11-21

Urządzenia Mbconnectline Mbnet.Mini oraz Helmholz Rex 100 zawierają dwa konta użytkowników z hasłami zakodowanymi na stałe w oprogramowaniu firmware. Błąd ten pozwala nieuwierzytelnionemu atakującemu zdalnemu na przejęcie pełnej kontroli nad urządzeniem.

Pokaż oryginał (EN)

The devices contain two hard coded user accounts with hardcoded passwords that allow an unauthenticated remote attacker for full control of the affected devices.

🤖 Analiza AI
Jak działa

W firmware urządzeń zaszyte są dwa konta użytkowników ze stałymi, niezmiennymi hasłami (CWE-798 — Use of Hard-coded Credentials). Ponieważ dane uwierzytelniające są identyczne we wszystkich egzemplarzach danego modelu i nie mogą zostać zmienione przez administratora, atakujący znający te hasła może zalogować się do dowolnego podatnego urządzenia bez żadnej dodatkowej autoryzacji. Atak jest możliwy zdalnie przez sieć, bez wymogu posiadania wcześniejszego dostępu ani interakcji użytkownika.

Skutki

Atakujący uzyskuje pełną kontrolę nad urządzeniem, co obejmuje możliwość odczytu i modyfikacji konfiguracji, zakłócenia działania urządzenia oraz potencjalnego wykorzystania go jako punktu wejścia do dalszej sieci przemysłowej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (CERT VDE: VDE-2024-056 oraz VDE-2024-066). Dodatkowo zaleca się izolację urządzeń od publicznej sieci Internet, ograniczenie dostępu sieciowego do tych urządzeń wyłącznie do zaufanych hostów oraz monitorowanie prób logowania.

Kogo dotyczy

Mbconnectline Mbnet.Mini (Firmware), Helmholz Rex 100 (Firmware) — dokładne wersje wskazane w referencjach producenta

Uwagi

Podatność odkryta i zgłoszona przez firmę SySS GmbH (advisory SYSS-2024-064). Opublikowano 15 października 2024 roku za pośrednictwem CERT VDE.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Helmholz Rex 100

    HW
    Helmholz
    wszystkie wersje
  • Helmholz Rex 100 Firmware

    OS
    Helmholz
    < 2.3.1
  • Mbconnectline Mbnet.mini

    HW
    Mbconnectline
    wszystkie wersje
  • Mbconnectline Mbnet.mini Firmware

    OS
    Mbconnectline
    < 2.3.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-45274CRITICAL9.8PL ✓ten sam produkt

Zdalne wykonanie poleceń OS bez uwierzytelnienia via UDP w urządzeniach Mbconnectline i Helmholz

CVE-2025-41675HIGH7.2ten sam produkt

A high privileged remote attacker can execute arbitrary system commands via GET requests in the cloud server c...

CVE-2025-41674HIGH7.2ten sam produkt

A high privileged remote attacker can execute arbitrary system commands via POST requests in the diagnostic ac...

CVE-2025-41673HIGH7.2ten sam produkt

A high privileged remote attacker can execute arbitrary system commands via POST requests in the send_sms acti...

CVE-2024-45276HIGH7.5ten sam produkt

An unauthenticated remote attacker can get read access to files in the "/tmp" directory due to missing authent...