CRITICAL✓ PATCH🇬🇧 English

CVE-2024-10943

Pominięcie uwierzytelnienia przez współdzielone sekrety w produktach Rockwell Automation

CVSS 9.1v4.0pub. 2024-11-12upd. 2026-04-15

W produkcie firmy Rockwell Automation odkryto krytyczną podatność umożliwiającą ominięcie mechanizmu uwierzytelnienia (authentication bypass). Atakujący, który pozyska dodatkowe informacje wymagane podczas logowania, może podszyć się pod dowolnego użytkownika systemu.

Pokaż oryginał (EN)

An authentication bypass vulnerability exists in the affected product. The vulnerability exists due to shared secrets across accounts and could allow a threat actor to impersonate a user if the threat actor is able to enumerate additional information required during authentication.

🤖 Analiza AI
Jak działa

Podatność wynika ze stosowania wspólnych (współdzielonych) sekretów uwierzytelniających (shared secrets) pomiędzy różnymi kontami użytkowników. Jeśli atakujący jest w stanie wyliczyć (enumerate) dodatkowe informacje wymagane w procesie uwierzytelnienia, może wykorzystać te współdzielone sekrety do podszycia się pod innego użytkownika. Atak nie wymaga posiadania uprawnień ani interakcji ze strony ofiary, jednak wymaga pewnego przygotowania w zakresie pozyskania dodatkowych danych.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do konta innego użytkownika, co prowadzi do naruszenia poufności oraz integralności danych i zasobów dostępnych dla tego konta.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe zalecenia i wersje poprawionych wydań znajdują się w poradniku bezpieczeństwa Rockwell Automation SD1710 dostępnym pod adresem wskazanym w referencjach.

Kogo dotyczy

Produkty Rockwell Automation wskazane w referencjach producenta (szczegółowe wersje określono w poradniku bezpieczeństwa SD1710 na stronie Rockwell Automation).

Uwagi

Podatność sklasyfikowana jako CWE-922 (Insecure Storage of Sensitive Information). Wektor CVSS 4.0 wskazuje na atak sieciowy (AV:N) niewymagający uprawnień (PR:N) ani interakcji użytkownika (UI:N), jednak wymagający spełnienia dodatkowych warunków (AT:P — Attack Requirements: Present). Podatność dotyczy środowisk przemysłowych (OT/ICS) — szczególna ostrożność zalecana w kontekście infrastruktury krytycznej.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje