CRITICAL🇬🇧 English

CVE-2025-41744

Domyślne klucze kryptograficzne w urządzeniach Sprecher Automation SPRECON-E

CVSS 9.1v3.1pub. 2025-12-02upd. 2026-02-23

Urządzenia z serii SPRECON-E firmy Sprecher Automation wykorzystują domyślne klucze kryptograficzne, co umożliwia nieuwierzytelnionemu atakującemu zdalnemu odszyfrowanie całej komunikacji. Podatność zagraża zarówno poufności, jak i integralności przesyłanych danych.

Pokaż oryginał (EN)

Sprecher Automations SPRECON-E series uses default cryptographic keys that allow an unprivileged remote attacker to access all encrypted communications, thereby compromising confidentiality and integrity.

🤖 Analiza AI
Jak działa

Oprogramowanie układowe urządzeń SPRECON-E zawiera predefiniowane (domyślne) klucze kryptograficzne wspólne dla wszystkich egzemplarzy danej serii. Atakujący posiadający wiedzę o tych kluczach — np. uzyskaną przez analizę firmware'u — może bez żadnych uprawnień przechwycić i odszyfrować zaszyfrowaną komunikację sieciową urządzeń. Brak indywidualizacji kluczy oznacza, że kompromitacja jednego egzemplarza skutkuje kompromitacją szyfrowania we wszystkich urządzeniach tej serii.

Skutki

Atakujący może uzyskać pełny dostęp do treści zaszyfrowanej komunikacji (naruszenie poufności) oraz potencjalnie modyfikować przesyłane dane (naruszenie integralności), co w przypadku urządzeń automatyki przemysłowej może prowadzić do zakłócenia procesów sterowania.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.sprecher-automation.com/fileadmin/itSecurity/PDF/SPR-2511043_de.pdf). Do czasu wdrożenia poprawek zaleca się izolację urządzeń SPRECON-E od sieci zewnętrznych oraz ograniczenie dostępu sieciowego do tych urządzeń wyłącznie do zaufanych hostów poprzez segmentację sieci i firewall.

Kogo dotyczy

Sprecher Automation SPRECON-E-T3 Firmware, SPRECON-E-C Firmware, SPRECON-E-C, SPRECON-E-P Firmware, SPRECON-E-T3 — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Sprecher Automation Sprecon E C

    HW
    Sprecher-Automation
    wszystkie wersje
  • Sprecher Automation Sprecon E C Firmware

    OS
    Sprecher-Automation
    wszystkie wersje
  • Sprecher Automation Sprecon E P

    HW
    Sprecher-Automation
    wszystkie wersje
  • Sprecher Automation Sprecon E P Firmware

    OS
    Sprecher-Automation
    wszystkie wersje
  • Sprecher Automation Sprecon E T3

    HW
    Sprecher-Automation
    wszystkie wersje
  • Sprecher Automation Sprecon E T3 Firmware

    OS
    Sprecher-Automation
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-41742CRITICAL9.8PL ✓ten sam produkt

Sprecher-Automation Sprecon-E: domyślne klucze kryptograficzne umożliwiają pełny dostęp zdalny

CVE-2022-4333CRITICAL9.8ten sam produkt

Hardcoded Credentials in multiple SPRECON-E CPU variants of Sprecher Automation allows an remote attacker to t...

CVE-2025-41743MEDIUM4.0ten sam produkt

Insufficient encryption strength in Sprecher Automation SPRECON-E-C, SPRECON-E-P, and SPRECON-E-T3 allows a lo...

CVE-2024-6758MEDIUM6.5ten sam produkt

Improper Privilege Management in Sprecher Automation SPRECON-E below version 8.71j allows a remote attacker wi...

CVE-2022-4332MEDIUM6.8ten sam produkt

In Sprecher Automation SPRECON-E-C/P/T3 CPU in variant PU244x a vulnerable firmware verification has been iden...

CVE-2025-41744 — Domyślne klucze kryptograficzne w urządzeniach Sprecher Automation SPRECON-E — CRITICAL 9.1 | CVEbaza.pl