Aplikacja Django wchodząca w skład Thermo Fisher Torrent Suite Software 5.18.1 używa domyślnych poświadczeń (login: ionadmin, hasło: ionadmin), które nie są wymuszone do zmiany po instalacji. Atakujący sieciowy bez żadnych uprawnień może zalogować się z pełnymi uprawnieniami administracyjnymi do wielu wdrożeń, które zachowały ustawienia domyślne.
▸ Pokaż oryginał (EN)
The Thermo Fisher Torrent Suite Django application 5.18.1 has weak default credentials, which are stored as fixtures for the Django ORM API. The ionadmin user account can be used to authenticate to default deployments with the password ionadmin. The user guide recommends changing default credentials; however, a password change policy for default administrative accounts is not enforced. Many deployments may retain default credentials, in which case an attacker is likely to be able to successfully authenticate with administrative privileges.
Domyślne poświadczenia konta ionadmin są przechowywane jako fixtures dla Django ORM API i dostarczane wraz z oprogramowaniem. Dokumentacja użytkownika zaleca zmianę tych poświadczeń po instalacji, jednak oprogramowanie nie wymusza tej zmiany w ramach żadnej polityki zarządzania hasłami. W rezultacie wiele wdrożeń produkcyjnych może nadal korzystać z domyślnej pary login/hasło, co umożliwia atakującemu dostępnemu z sieci natychmiastowe uwierzytelnienie bez konieczności łamania haseł.
Atakujący uzyskuje pełny dostęp administracyjny do aplikacji, co pozwala na odczyt, modyfikację lub usunięcie danych, a także potencjalne przejęcie kontroli nad systemem analizy danych sekwencjonowania DNA.
Należy niezwłocznie zmienić domyślne hasło konta ionadmin we wszystkich wdrożeniach Torrent Suite Software. Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu sieciowego do interfejsu zarządzania wyłącznie do zaufanych adresów IP oraz wdrożenie polityki wymuszającej zmianę haseł domyślnych przy pierwszym logowaniu.
Thermo Fisher Torrent Suite Software w wersji 5.18.1 (aplikacja Django) — dotyczy wdrożeń, które nie zmieniły domyślnych poświadczeń konta ionadmin
Podatność sklasyfikowana jako CWE-1392 (użycie domyślnych poświadczeń). Dokumentacja producenta (instrukcja użytkownika) zawiera zalecenie zmiany domyślnych poświadczeń, jednak brak mechanizmu wymuszającego tę zmianę sprawia, że ryzyko w środowiskach produkcyjnych pozostaje wysokie. Produkt służy do analizy danych sekwencjonowania nowej generacji (NGS), co czyni go wrażliwym celem w środowiskach badawczych i medycznych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HThermofisher Torrent Suite Software
APPThermofisher5.18.1
Powiązane podatności
An issue was discovered in the Thermo Fisher Torrent Suite Django application 5.18.1. One of the middlewares i...
An issue was discovered in the Thermo Fisher Torrent Suite Django application 5.18.1. A remote code execution ...
An issue was discovered in the Thermo Fisher Torrent Suite Django application 5.18.1. The /configure/plugins/p...
Słabe domyślne hasło root w urządzeniu Thermo Fisher Ion Torrent OneTouch 2
Niezabezpieczony serwer X11 w Thermo Fisher Ion Torrent OneTouch 2 umożliwia RCE z uprawnieniami root