Produkt mySCADA myPRO zawiera zakodowane na stałe hasło (hard-coded password), które może zostać wykorzystane przez atakującego do zdalnego wykonania kodu na podatnym urządzeniu. Podatność jest szczególnie groźna w środowiskach przemysłowych (ICS/SCADA), gdzie kompromitacja systemu może prowadzić do poważnych zakłóceń operacyjnych.
▸ Pokaż oryginał (EN)
mySCADA myPRO uses a hard-coded password which could allow an attacker to remotely execute code on the affected device.
W oprogramowaniu mySCADA myPRO zaszyte jest statyczne hasło (hard-coded password), które nie może zostać zmienione przez użytkownika w standardowy sposób. Atakujący posiadający wiedzę o tym haśle może uwierzytelnić się w systemie bez znajomości prawidłowych danych dostępowych. Po uzyskaniu dostępu możliwe jest zdalne wykonanie kodu (RCE) na urządzeniu, bez konieczności posiadania jakichkolwiek uprawnień ani interakcji ze strony użytkownika.
Atakujący może zdalnie wykonać dowolny kod na podatnym urządzeniu, co prowadzi do pełnej utraty poufności, integralności i dostępności systemu. W kontekście systemów przemysłowych SCADA może to skutkować zakłóceniem lub przejęciem kontroli nad procesami przemysłowymi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły w advisory CISA ICSA-24-184-02 (https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-02) oraz na stronie producenta mySCADA.
mySCADA myPRO — wersje wskazane w referencjach producenta (advisory CISA ICSA-24-184-02)
Podatność dotyczy systemu klasy ICS/SCADA — advisory opublikowane przez CISA w ramach serii ICS Advisories (ICSA-24-184-02). Wektor ataku sieciowy bez wymaganych uprawnień i bez interakcji użytkownika (AV:N/AC:L/PR:N/UI:N) znacząco podnosi ryzyko w środowiskach przemysłowych wystawionych na sieć.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMyscada Mypro
APPMyscada< 8.31.0
Powiązane podatności
mySCADA myPRO Manager — przechowywanie poświadczeń w postaci jawnej (cleartext)
Command Injection w mySCADA myPRO Manager — zdalne wykonanie poleceń OS
Brak uwierzytelnienia w panelu administracyjnym mySCADA myPRO Manager
An authenticated mySCADA myPRO 8.26.0 user may be able to modify parameters to run commands directly in the op...
mySCADA myPRO: Versions 8.20.0 and prior has a feature to send emails, which may allow an attacker to inject a...