CRITICAL🇬🇧 English

CVE-2024-2013

Authentication bypass w Hitachi Energy FOXMAN-UN/UNEM — pełny dostęp bez uwierzytelnienia

CVSS 10.0v3.1pub. 2024-06-11upd. 2024-11-21

W komponencie serwera/API Gateway produktów FOXMAN-UN oraz UNEM firmy Hitachi Energy wykryto krytyczną podatność typu authentication bypass. Umożliwia ona nieuwierzytelnionym atakującym dostęp do chronionych usług i dalszego obszaru ataku post-uwierzytelnieniowego.

Pokaż oryginał (EN)

An authentication bypass vulnerability exists in the FOXMAN-UN/UNEM server / API Gateway component that if exploited allows attackers without any access to interact with the services and the post-authentication attack surface.

🤖 Analiza AI
Jak działa

Podatność (CWE-288, CWE-306) polega na możliwości ominięcia mechanizmów uwierzytelniania w warstwie serwera lub API Gateway. Atakujący bez żadnych poświadczeń może bezpośrednio wchodzić w interakcję z wewnętrznymi usługami systemu, które normalnie wymagają autoryzacji. Maksymalny wynik CVSS 10.0 z wektorem sieciowym (AV:N), bez wymaganych uprawnień (PR:N) i bez interakcji użytkownika (UI:N) wskazuje na pełną zdalną exploitowalność.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do całego obszaru funkcjonalności dostępnej po uwierzytelnieniu, co potencjalnie prowadzi do ujawnienia poufnych danych, modyfikacji konfiguracji lub zakłócenia działania systemu zarządzania siecią energetyczną.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://publisher.hitachienergy.com/preview?DocumentId=8DBD000201&languageCode=en&Preview=true). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do komponentu API Gateway wyłącznie do zaufanych hostów oraz zastosowanie dodatkowych mechanizmów kontroli dostępu na poziomie firewall.

Kogo dotyczy

Produkty Hitachi Energy FOXMAN-UN oraz UNEM — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Hitachienergy Foxman Un

    APP
    Hitachienergy
    r15ar15br16ar16b
  • Hitachienergy Unem

    APP
    Hitachienergy
    r15ar15br16b
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-2012CRITICAL9.1PL ✓ten sam produkt

RCE w serwerze/API Gateway Hitachi Energy FOXMAN-UN/UNEM

CVE-2024-28021HIGH7.4ten sam produkt

A vulnerability exists in the FOXMAN-UN/UNEM server that affects the message queueing mechanism’s certificate...

CVE-2024-2011HIGH8.6ten sam produkt

A heap-based buffer overflow vulnerability exists in the FOXMAN-UN/UNEM that if exploited will generally lead ...

CVE-2024-28020HIGH8.0ten sam produkt

A user/password reuse vulnerability exists in the FOXMAN-UN/UNEM application and server management. If exploit...

CVE-2022-3927HIGH8.0ten sam produkt

The affected products store both public and private key that are used to sign and protect Custom Parameter Se...