W określonych okolicznościach komunikacja między exacqVision Client a exacqVision Server wykorzystuje klucze kryptograficzne o niewystarczającej długości, co może prowadzić do ich złamania. Podatność jest oceniana jako krytyczna (CVSS 9.0) i może skutkować utratą poufności, integralności oraz dostępności systemu.
▸ Pokaż oryginał (EN)
Under certain circumstances the communication between exacqVision Client and exacqVision Server will use insufficient key length and exchange
Podatność wynika z błędu w procesie uzgadniania klucza (key exchange) pomiędzy klientem a serwerem exacqVision — w określonych warunkach negocjowany jest klucz szyfrujący o niewystarczającej długości (CWE-326). Słaby klucz może zostać złamany przez atakującego znajdującego się na ścieżce komunikacji sieciowej. Uzyskując dostęp do słabo zaszyfrowanego kanału, atakujący może odczytywać i modyfikować przesyłane dane.
Atakujący może uzyskać nieautoryzowany dostęp do transmitowanych danych, a w skrajnym przypadku — przejąć kontrolę zarówno nad systemem klienckim, jak i serwerowym, naruszając ich poufność, integralność i dostępność.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (doradztwo bezpieczeństwa Johnson Controls oraz poradnik ICS-CERT ICSA-24-214-01). Zaleca się również ograniczenie dostępu sieciowego do systemów exacqVision do zaufanych sieci i segmentów.
Produkty Johnson Controls: exacqVision Client oraz exacqVision Server — wersje wskazane w referencjach producenta
Podatność opisana w poradniku ICS-CERT ICSA-24-214-01 z dnia 1 sierpnia 2024 roku, dotyczącym systemów przemysłowych (ICS). Warunki niezbędne do wykorzystania podatności (AC:H, UI:P) nieznacznie ograniczają ryzyko w praktyce.
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XJohnsoncontrols Exacqvision Client
APPJohnsoncontrols< 24.06Johnsoncontrols Exacqvision Server
APPJohnsoncontrols< 24.06
Powiązane podatności
An unauthenticated remote user could exploit a potential integer overflow condition in the exacqVision Server ...
Under certain circumstances the exacqVision Server will not properly validate TLS certificates provided by con...
ExacqVision Server’s services 'exacqVisionServer', 'dvrdhcpserver' and 'mdnsresponder' have an unquoted servic...
An unauthorized user could access debug features in Quantum HD Unity products that were accidentally exposed.
Improper authentication in OpenBlue Enterprise Manager Data Collector versions prior to 3.2.5.75 allow access ...