W oprogramowaniu ibaPDA wykryto krytyczną podatność związaną z nieprawidłową konfiguracją uprawnień do systemu plików (CWE-732). Luka umożliwia nieautoryzowanym użytkownikom wykonywanie operacji na systemie plików, co może prowadzić do naruszenia poufności, integralności lub dostępności systemu.
▸ Pokaż oryginał (EN)
A security issue has been identified in ibaPDA that could allow unauthorized actions on the file system under certain conditions. This may impact the confidentiality, integrity, or availability of the system.
Podatność wynika z nieprawidłowo skonfigurowanych uprawnień do zasobów systemu plików (CWE-732 — Incorrect Permission Assignment for Critical Resource). Przy spełnieniu określonych warunków atakujący nieuwierzytelniony zdalnie może uzyskać dostęp do chronionych zasobów systemu plików i wykonywać na nich nieautoryzowane działania. Brak wymagań dotyczących uwierzytelnienia, interakcji użytkownika oraz niskie wymagania co do warunków ataku (AC:L, AT:N, PR:N, UI:N) sprawiają, że podatność jest wyjątkowo łatwa do wykorzystania.
Atakujący może naruszać poufność, integralność oraz dostępność systemu poprzez nieautoryzowany odczyt, modyfikację lub usuwanie plików — w tym potencjalnie krytycznych danych procesowych i konfiguracyjnych systemu przemysłowego. Ze względu na wysoki wpływ zarówno na system lokalny, jak i systemy zależne (SC:H, SI:H, SA:H), skutki mogą obejmować zakłócenie działania instalacji przemysłowych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach zawierającch poprawkę dostępne są w doradztwie CISA ICS-CERT pod adresem https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-01
Oprogramowanie ibaPDA — wersje wskazane w referencjach producenta (doradztwo ICS-CERT ICSA-26-027-01)
Podatność dotyczy systemu klasy ICS/SCADA (ibaPDA), stosowanego w środowiskach przemysłowych. Doradztwo zostało opublikowane przez CISA w ramach serii ICS Advisories (ICSA-26-027-01). Maksymalny wynik CVSS 4.0 wynosi 10.0, jednak brak potwierdzenia aktywnego wykorzystania w środowisku produkcyjnym.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X