CRITICAL🇬🇧 English

CVE-2024-6422

Brak uwierzytelnienia w Telnet — zdalne przejęcie urządzeń Pepperl-Fuchs OIT

CVSS 9.8v3.1pub. 2024-07-10upd. 2024-11-21

Urządzenia z serii Pepperl-Fuchs OIT posiadają krytyczną podatność polegającą na braku wymagania uwierzytelnienia dla interfejsu Telnet. Umożliwia to nieuwierzytelnionemu atakującemu zdalne przejęcie pełnej kontroli nad urządzeniem.

Pokaż oryginał (EN)

An unauthenticated remote attacker can manipulate the device via Telnet, stop processes, read, delete and change data.

🤖 Analiza AI
Jak działa

Podatność wynika z braku mechanizmu uwierzytelniania (CWE-306) dla usługi Telnet dostępnej przez sieć. Atakujący może bez podawania jakichkolwiek danych uwierzytelniających połączyć się z urządzeniem poprzez protokół Telnet. Po nawiązaniu połączenia uzyskuje możliwość wykonywania poleceń, manipulowania procesami oraz danymi na urządzeniu.

Skutki

Nieuwierzytelniony zdalny atakujący może zatrzymywać działające procesy, odczytywać, usuwać i modyfikować dane na urządzeniu. W praktyce oznacza to możliwość pełnego przejęcia kontroli nad urządzeniem przemysłowym.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://cert.vde.com/en/advisories/VDE-2024-038). Do czasu aktualizacji zaleca się odizolowanie urządzeń od niezaufanych sieci, zablokowanie dostępu do portu Telnet na poziomie firewall oraz ograniczenie dostępu sieciowego do urządzeń wyłącznie do zaufanych hostów.

Kogo dotyczy

Pepperl-Fuchs OIT700-F113-B12-CB, Pepperl-Fuchs OIT500-F113-B12-CB, Pepperl-Fuchs OIT200-F113-B12-CB — konkretne wersje firmware wskazane w referencjach producenta (CERT VDE VDE-2024-038)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Pepperl Fuchs Oit1500 F113 B12 Cb

    HW
    Pepperl-Fuchs
    wszystkie wersje
  • Pepperl Fuchs Oit1500 F113 B12 Cb Firmware

    OS
    Pepperl-Fuchs
    ≤ 2.11.0
  • Pepperl Fuchs Oit200 F113 B12 Cb

    HW
    Pepperl-Fuchs
    wszystkie wersje
  • Pepperl Fuchs Oit200 F113 B12 Cb Firmware

    OS
    Pepperl-Fuchs
    ≤ 2.11.0
  • Pepperl Fuchs Oit500 F113 B12 Cb

    HW
    Pepperl-Fuchs
    wszystkie wersje
  • Pepperl Fuchs Oit500 F113 B12 Cb Firmware

    OS
    Pepperl-Fuchs
    ≤ 2.11.0
  • Pepperl Fuchs Oit700 F113 B12 Cb

    HW
    Pepperl-Fuchs
    wszystkie wersje
  • Pepperl Fuchs Oit700 F113 B12 Cb Firmware

    OS
    Pepperl-Fuchs
    ≤ 2.11.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-6421HIGH7.5ten sam produkt

An unauthenticated remote attacker can read out sensitive device information through a incorrectly configured ...

CVE-2021-34565CRITICAL9.8ten sam vendor

In PEPPERL+FUCHS WirelessHART-Gateway 3.0.7 to 3.0.9 the SSH and telnet services are active with hard-coded cr...

CVE-2020-12500CRITICAL9.8ten sam vendor

Improper Authorization vulnerability of Pepperl+Fuchs P+F Comtrol RocketLinx ES7510-XT, ES8509-XT, ES8510-XT, ...

CVE-2020-12501CRITICAL9.8ten sam vendor

Improper Authorization vulnerability of Pepperl+Fuchs P+F Comtrol RocketLinx ES7510-XT, ES8509-XT, ES8510-XT, ...

CVE-2020-12504CRITICAL9.8ten sam vendor

Improper Authorization vulnerability of Pepperl+Fuchs P+F Comtrol RocketLinx ES7510-XT, ES8509-XT, ES8510-XT, ...

CVE-2024-6422 — Brak uwierzytelnienia w Telnet — zdalne przejęcie urządzeń Pepperl-Fuchs OIT — CRITICAL 9.8 | CVEbaza.pl