CRITICAL🇬🇧 English

CVE-2025-27595

Słaby algorytm hashowania haseł w urządzeniu SICK DL100

CVSS 9.8v3.1pub. 2025-03-14upd. 2026-04-15

Urządzenie wykorzystuje słaby algorytm hashowania do tworzenia skrótów haseł, co umożliwia atakującemu łatwe odtworzenie oryginalnego hasła. Podatność ma krytyczny wpływ na bezpieczeństwo i integralność urządzenia.

Pokaż oryginał (EN)

The device uses a weak hashing alghorithm to create the password hash. Hence, a matching password can be easily calculated by an attacker. This impacts the security and the integrity of the device.

🤖 Analiza AI
Jak działa

Mechanizm przechowywania haseł opiera się na słabym algorytmie hashowania (CWE-328), który nie zapewnia odpowiedniej odporności kryptograficznej. Atakujący, który uzyska dostęp do przechowywanych skrótów haseł, może w stosunkowo krótkim czasie obliczyć pasujące hasło w sposób nieuprawniony. Wynika to z podatności samego algorytmu na ataki słownikowe, brute-force lub precomputed hash (np. tablice tęczowe).

Skutki

Atakujący może odtworzyć hasło uwierzytelniające do urządzenia, co prowadzi do pełnego naruszenia poufności, integralności i dostępności systemu — w tym nieautoryzowanego przejęcia kontroli nad urządzeniem.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (sick.com/psirt). Dodatkowo zaleca się zmianę haseł na urządzeniach, ograniczenie dostępu sieciowego do urządzeń oraz stosowanie się do wytycznych ICS CISA w zakresie zabezpieczania systemów przemysłowych.

Kogo dotyczy

Urządzenia SICK DL100 — szczegółowe wersje wskazane w referencjach producenta (sick.com/psirt oraz dokumentacja SICK IM0084411)

Uwagi

Podatność opisana publicznie przez zespół bezpieczeństwa Deutsche Telekom (github.security.telekom.com) w marcu 2025 roku, w ramach ujawnienia wielu podatności w urządzeniu SICK DL100.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2025-27595 — Słaby algorytm hashowania haseł w urządzeniu SICK DL100 — CRITICAL 9.8 | CVEbaza.pl