WAGO Series 750-88x/87 eszközök sérülékenysége

WAGO Series 750-88x/87 eszközök sérülékenysége
Angol cím: WAGO Undocumented service access in Series 750-88x and 750-87x devices

CH azonosító: CH-14562
Publikálás dátuma: 2019.04.15.
Utolsó módosítás dátuma: 2019.04.15.

Leírás

A német VDE CERT tájékoztatása szerint kritikus sérülékenységet fedeztek fel, mely sérülékenység a WAGO Series 750-88x/87x ipari irányító eszközöket érinti. Felfedezésük dokumentációja jelenleg nem publikus, de a CVE-2019-10712 szám lefoglalásra került a leírás közzétételéhez.

Leírás utolsó módosítása: 2019.04.15.

Elemzés leírás

Kritikus kockázati besorolású sérülékenységet találtak a WAGO Series 750-88x/87 ipari irányító eszközökben.  A nem dokumentált szerviz hozzáférés segítségével megváltoztathatóak az eszköz beállításai. A szerviz felhasználónak adminisztratív jogú hozzáférése van a web alapú management felülethez. Ezzel a hozzáféréssel lehetőség van arra, hogy más felhasználókat kizárásra, vagy letiltott portok engedélyezésre kerüljenek. A szerviz felhasznál segítségével lehetőség van arra is, hogy ftp kapcsolatin keresztül a támadó fél lecserélje vagy törölje a programot.

Érintett verziók:

Termék: Firmware:
750-330 <FW14
750-352/… <FW14
750-829 <FW14
750-831 <FW14
750-852 <FW14
750-880/… <FW14
750-881 <FW14
750-882 <FW14
750-884/… <FW14
750-885 <FW14
750-889 <FW14
750-830 <FW06
750-849 <FW08
750-871 <FW11
750-872 <FW07
750-873 <FW07

Javaslat: az érintett eszközök Firmware-ének mielőbbi frissítése.

 

Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma:
Kihasználhatóság pontszáma:

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C):
Sértetlenség Hatása (I):
Rendelkezésre állás Hatása (A):

Hivatkozások

https://cert.vde.com/en-us/advisories/vde-2019-008
https://www.basquecybersecurity.eus/es/avisos/sistemas-control-industrial/acceso-servicio-documentado-dispositivos-wago-1548.html

Legfrissebb sérülékenységek
CVE-2022-38063 – social login wp project / social login wp sérülékenysége
CVE-2023-25280 – dlink / dir820la1 firmware sérülékenysége
CVE-2023-28466 – Linux Kernel sérülékenysége
CVE-2023-28097 – OpenSIPS sérülékenysége
CVE-2023-28098 – OpenSIPS sérülékenysége
CVE-2023-28099 – OpenSIPS sérülékenysége
CVE-2022-44580 – RichPlugins Plugin For Google Reviews for WordPress sérülékenysége
CVE-2023-27239 – tenda / ax3 firmware sérülékenysége
CVE-2023-27240 – tenda / ax3 firmware sérülékenysége
CVE-2023-1327 – NETGEAR RAX30 Firmware sérülékenysége
Tovább a sérülékenységekhez »