WAGO Series 750-88x/87 eszközök sérülékenysége

CH azonosító: CH-14562
Cím: WAGO Series 750-88x/87 eszközök sérülékenysége
Angol cím: WAGO Undocumented service access in Series 750-88x and 750-87x devices

Publikálás dátuma: 2019.04.15.
Utolsó módosítás dátuma: 2019.04.15.


Leírás

A német VDE CERT tájékoztatása szerint kritikus sérülékenységet fedeztek fel, mely sérülékenység a WAGO Series 750-88x/87x ipari irányító eszközöket érinti. Felfedezésük dokumentációja jelenleg nem publikus, de a CVE-2019-10712 szám lefoglalásra került a leírás közzétételéhez.


Leírás utolsó módosítása: 2019.04.15.


Elemzés leírás

Kritikus kockázati besorolású sérülékenységet találtak a WAGO Series 750-88x/87 ipari irányító eszközökben.  A nem dokumentált szerviz hozzáférés segítségével megváltoztathatóak az eszköz beállításai. A szerviz felhasználónak adminisztratív jogú hozzáférése van a web alapú management felülethez. Ezzel a hozzáféréssel lehetőség van arra, hogy más felhasználókat kizárásra, vagy letiltott portok engedélyezésre kerüljenek. A szerviz felhasznál segítségével lehetőség van arra is, hogy ftp kapcsolatin keresztül a támadó fél lecserélje vagy törölje a programot.

Érintett verziók:

Termék: Firmware:
750-330 <FW14
750-352/… <FW14
750-829 <FW14
750-831 <FW14
750-852 <FW14
750-880/… <FW14
750-881 <FW14
750-882 <FW14
750-884/… <FW14
750-885 <FW14
750-889 <FW14
750-830 <FW06
750-849 <FW08
750-871 <FW11
750-872 <FW07
750-873 <FW07

Javaslat: az érintett eszközök Firmware-ének mielőbbi frissítése.

 



Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma:
Kihasználhatóság pontszáma:


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:




Hivatkozások

https://cert.vde.com/en-us/advisories/vde-2019-008
https://www.basquecybersecurity.eus/es/avisos/sistemas-control-industrial/acceso-servicio-documentado-dispositivos-wago-1548.html