WAGO Series 750-88x/87 eszközök sérülékenysége

WAGO Series 750-88x/87 eszközök sérülékenysége
Angol cím: WAGO Undocumented service access in Series 750-88x and 750-87x devices

CH azonosító: CH-14562
Publikálás dátuma: 2019.04.15.
Utolsó módosítás dátuma: 2019.04.15.

Leírás

A német VDE CERT tájékoztatása szerint kritikus sérülékenységet fedeztek fel, mely sérülékenység a WAGO Series 750-88x/87x ipari irányító eszközöket érinti. Felfedezésük dokumentációja jelenleg nem publikus, de a CVE-2019-10712 szám lefoglalásra került a leírás közzétételéhez.

Leírás utolsó módosítása: 2019.04.15.

Elemzés leírás

Kritikus kockázati besorolású sérülékenységet találtak a WAGO Series 750-88x/87 ipari irányító eszközökben.  A nem dokumentált szerviz hozzáférés segítségével megváltoztathatóak az eszköz beállításai. A szerviz felhasználónak adminisztratív jogú hozzáférése van a web alapú management felülethez. Ezzel a hozzáféréssel lehetőség van arra, hogy más felhasználókat kizárásra, vagy letiltott portok engedélyezésre kerüljenek. A szerviz felhasznál segítségével lehetőség van arra is, hogy ftp kapcsolatin keresztül a támadó fél lecserélje vagy törölje a programot.

Érintett verziók:

Termék: Firmware:
750-330 <FW14
750-352/… <FW14
750-829 <FW14
750-831 <FW14
750-852 <FW14
750-880/… <FW14
750-881 <FW14
750-882 <FW14
750-884/… <FW14
750-885 <FW14
750-889 <FW14
750-830 <FW06
750-849 <FW08
750-871 <FW11
750-872 <FW07
750-873 <FW07

Javaslat: az érintett eszközök Firmware-ének mielőbbi frissítése.

 

Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma:
Kihasználhatóság pontszáma:

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C):
Sértetlenség Hatása (I):
Rendelkezésre állás Hatása (A):

Hivatkozások

https://cert.vde.com/en-us/advisories/vde-2019-008
https://www.basquecybersecurity.eus/es/avisos/sistemas-control-industrial/acceso-servicio-documentado-dispositivos-wago-1548.html

Legfrissebb sérülékenységek
CVE-2023-4863 – Google Chrome sérülékenysége
CVE-2023-40186 – FreeRDP sérülékenysége
CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége
CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége
CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége
CVE-2023-38831 – RARLabs WinRAR sérülékenysége
CVE-2023-38035 – Ivanti Sentry sérülékenysége
CVE-2023-20212 – ClamAV sérülékenysége
CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége
Tovább a sérülékenységekhez »