Tyler Identity Local (TID-L) używa domyślnych, udokumentowanych danych logowania dla konta administratora, których zmiana nie jest wymagana przed wdrożeniem. Podatność umożliwia nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad systemem zdalnie.
▸ Pokaż oryginał (EN)
Tyler Identity Local (TID-L) uses documented, default administrative credentials. Users are not required to change the credentials before deployment. TID-L has not been distributed since December 2020, and has not been supported since 2021.
Produkt TID-L dostarcza predefiniowane dane uwierzytelniające do konta administracyjnego, które są publicznie udokumentowane. Ponieważ użytkownicy nie są zobowiązani do zmiany tych danych przed uruchomieniem systemu, atakujący może skorzystać ze znanych domyślnych poświadczeń i uzyskać dostęp administracyjny bez żadnej dodatkowej interakcji z ofiarą. Wektor ataku jest sieciowy, nie wymaga uprawnień ani specjalnych warunków środowiskowych.
Atakujący może uzyskać pełny, nieautoryzowany dostęp administracyjny do systemu, co prowadzi do naruszenia poufności, integralności oraz dostępności danych i usług obsługiwanych przez TID-L.
Producent zaprzestał dystrybucji TID-L w grudniu 2020 roku i zakończył wsparcie w 2021 roku — nie będą wydawane patche. Zaleca się natychmiastowe odłączenie lub wycofanie z eksploatacji wszystkich działających instancji TID-L. Jeśli natychmiastowe wycofanie nie jest możliwe, należy niezwłocznie zmienić domyślne dane uwierzytelniające, ograniczyć dostęp sieciowy do systemu (firewall, segmentacja sieci) oraz monitorować logi pod kątem nieautoryzowanych logowań.
Tyler Identity Local (TID-L) — produkt nie był dystrybuowany od grudnia 2020 roku i nie jest wspierany od 2021 roku. Dotyczy wszystkich wdrożonych instancji tego systemu, w których nie zmieniono domyślnych danych uwierzytelniających.
TID-L nie był dystrybuowany od grudnia 2020 roku i nie jest objęty wsparciem producenta od 2021 roku. Wdrożenia tego produktu stanowią nieobsługiwane, przestarzałe systemy (end-of-life), dla których nie można oczekiwać aktualizacji bezpieczeństwa.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X