CRITICAL✓ PATCH🇬🇧 English

CVE-2025-25211

Słabe wymagania haseł w CHOCO TEI WATCHER mini umożliwiają atak brute-force

CVSS 9.8v3.1pub. 2025-03-31upd. 2026-04-15

Urządzenie CHOCO TEI WATCHER mini (IB-MCT001) we wszystkich wersjach nie wymusza stosowania silnych haseł, co naraża je na ataki brute-force. Skuteczne wykorzystanie podatności może umożliwić nieautoryzowany dostęp i zalogowanie się do urządzenia.

Pokaż oryginał (EN)

Weak password requirements issue exists in CHOCO TEI WATCHER mini (IB-MCT001) all versions. If this issue is exploited, a brute-force attack may allow an attacker unauthorized access and login.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiednich wymagań dotyczących złożoności lub długości haseł (CWE-521 — Weak Password Requirements). Atakujący może przeprowadzić atak brute-force, systematycznie próbując kolejnych kombinacji haseł, aż do uzyskania dostępu. Ze względu na sieciowy wektor ataku (AV:N) i brak wymagań uwierzytelnienia (PR:N) oraz interakcji użytkownika (UI:N), atak jest możliwy zdalnie i bez żadnych warunków wstępnych.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do urządzenia i zalogować się, co przy urządzeniu klasy ICS/OT może prowadzić do nieuprawnionego podglądu lub manipulacji danymi z linii produkcyjnej, a potencjalnie również do zakłócenia jej działania.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się izolację urządzenia od sieci publicznej, stosowanie silnych, unikalnych haseł oraz ograniczenie dostępu sieciowego do urządzenia za pomocą firewall lub segmentacji sieci OT.

Kogo dotyczy

CHOCO TEI WATCHER mini (IB-MCT001) — wszystkie wersje oprogramowania

Uwagi

Podatność dotyczy urządzenia klasy ICS (przemysłowy system sterowania) stosowanego do monitorowania linii produkcyjnych. CISA wydała poradnik ICS Advisory ICSA-25-084-04 dotyczący tego problemu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
CVE-2025-25211 — Słabe wymagania haseł w CHOCO TEI WATCHER mini umożliwiają atak brute-force — CRITICAL 9.8 | CVEbaza.pl