Platforma CyberPower PowerPanel zawiera zakodowane na stałe dane uwierzytelniające (hard-coded credentials) używane do logowania do bazy danych, innych usług oraz chmury. Podatność jest krytyczna, ponieważ atakujący bez żadnego uwierzytelnienia może uzyskać dostęp do chronionych zasobów z uprawnieniami aplikacji PowerPanel Business.
▸ Pokaż oryginał (EN)
Hard-coded credentials are used by the CyberPower PowerPanel platform to authenticate to the database, other services, and the cloud. This could result in an attacker gaining access to services with the privileges of a Powerpanel business application.
W oprogramowaniu CyberPower PowerPanel dane uwierzytelniające (login i hasło) są trwale wbudowane w kod aplikacji lub konfigurację (CWE-798 — Use of Hard-coded Credentials). Oznacza to, że każda instalacja produktu posiada identyczne, niezmienne dane dostępowe do bazy danych, wewnętrznych usług i infrastruktury chmurowej. Atakujący, który pozyska te dane (np. poprzez analizę plików binarnych lub konfiguracyjnych), może ich użyć do bezpośredniego uwierzytelnienia się w dowolnej instancji produktu, bez konieczności posiadania własnych uprawnień.
Atakujący zdalnie i bez uwierzytelnienia może uzyskać pełny dostęp (odczyt, zapis, usuwanie danych) do bazy danych, powiązanych usług oraz zasobów chmurowych z uprawnieniami aplikacji PowerPanel Business, co może prowadzić do naruszenia poufności, integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacja dostępna na stronie CyberPower dla produktu PowerPanel Business for Windows. Szczegóły dotyczące wersji poprawionej zawiera komunikat CISA ICS Advisory ICSA-24-123-01.
CyberPower PowerPanel Business (wersje wskazane w referencjach producenta oraz w komunikacie ICS-CERT ICSA-24-123-01)
Podatność zgłoszona w ramach koordynowanego komunikatu CISA ICS Advisory ICSA-24-123-01, opublikowanego 2024-05-02. Dotyczy środowisk przemysłowych i infrastruktury krytycznej (systemy zarządzania zasilaniem UPS).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HCyberpower Powerpanel
APPCyberpower≤ 4.9.0
Powiązane podatności
CyberPower PowerPanel: zakodowany klucz JWT umożliwia ominięcie uwierzytelnienia
CyberPower PowerPanel Business — zakodowane dane uwierzytelniające
CyberPower PowerPanel — zakodowane na stałe dane uwierzytelniające w kodzie produkcyjnym
Brak uwierzytelnienia w REST API CyberPower PowerPanel Enterprise
Improper privilege management vulnerability in default.cmd file in PowerPanel Business Local/Remote for Window...