mySCADA myPRO Manager przechowuje poświadczenia użytkowników w postaci niezaszyfrowanej (cleartext), co umożliwia atakującemu uzyskanie dostępu do wrażliwych danych uwierzytelniających. Ze względu na sieciowy charakter ataku (AV:N) bez wymagania jakiegokolwiek uwierzytelnienia, podatność stanowi poważne zagrożenie dla bezpieczeństwa środowisk przemysłowych (ICS/SCADA).
▸ Pokaż oryginał (EN)
mySCADA myPRO Manager stores credentials in cleartext, which could allow an attacker to obtain sensitive information.
Aplikacja mySCADA myPRO Manager zapisuje dane uwierzytelniające (np. loginy i hasła) w sposób jawny — bez szyfrowania ani odpowiedniego zabezpieczenia (CWE-312: Cleartext Storage of Sensitive Information). Atakujący, który uzyska dostęp do plików konfiguracyjnych, pamięci aplikacji lub ruchu sieciowego, może odczytać te poświadczenia bez żadnego dodatkowego wysiłku kryptograficznego. Podatność jest dostępna zdalnie, nie wymaga uwierzytelnienia ani interakcji ze strony użytkownika.
Atakujący może uzyskać dostęp do poświadczeń przechowywanych przez aplikację, a następnie wykorzystać je do nieautoryzowanego dostępu do systemów SCADA i powiązanej infrastruktury przemysłowej, co może prowadzić do poważnych naruszeń poufności danych systemowych i procesowych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się pobranie zaktualizowanej wersji ze strony producenta (https://www.myscada.org/downloads/mySCADAPROManager/) oraz zapoznanie się z zaleceniami CISA opisanymi w poradniku ICSA-25-044-16. Dodatkowo rekomenduje się izolację systemów SCADA od sieci publicznych, ograniczenie dostępu do plików konfiguracyjnych oraz monitorowanie dostępu do wrażliwych zasobów.
mySCADA myPRO Manager — wersje wskazane w referencjach producenta (CISA ICS Advisory ICSA-25-044-16)
Podatność została opisana w poradniku ICS firmy CISA o numerze ICSA-25-044-16, opublikowanym 13 lutego 2025 roku, dotyczącym systemów sterowania przemysłowego (ICS). Wysoki wynik CVSS 9.2 wynika m.in. z wysokiego wpływu na poufność zarówno w kontekście systemu dotkniętego podatnością (VC:H), jak i systemów z nim powiązanych (SC:H).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMyscada Mypro
APPMyscada< 1.4
Powiązane podatności
Brak uwierzytelnienia w panelu administracyjnym mySCADA myPRO Manager
Command Injection w mySCADA myPRO Manager — zdalne wykonanie poleceń OS
mySCADA myPRO — hardcoded password umożliwiający zdalne wykonanie kodu
An authenticated mySCADA myPRO 8.26.0 user may be able to modify parameters to run commands directly in the op...
mySCADA myPRO: Versions 8.20.0 and prior has a feature to send emails, which may allow an attacker to inject a...