CRITICAL🇬🇧 English

CVE-2024-43423

Zakodowane na stałe hasło konta administratora w ProGauge MAGLINK LX/LX4 Console

CVSS 9.3v4.0pub. 2024-09-25upd. 2024-10-01

Aplikacja webowa urządzeń ProGauge MAGLINK LX4 CONSOLE zawiera konto użytkownika o uprawnieniach administracyjnych z hasłem, którego nie można zmienić. Oznacza to, że nieautoryzowany atakujący może uzyskać pełny dostęp administracyjny do systemu, znając to stałe hasło.

Pokaż oryginał (EN)

The web application for ProGauge MAGLINK LX4 CONSOLE contains an administrative-level user account with a password that cannot be changed.

🤖 Analiza AI
Jak działa

Producent wbudował w oprogramowanie układowe konto administracyjne z hasłem zakodowanym na stałe (hard-coded password), które nie może zostać zmienione przez administratora lub użytkownika systemu. Tego typu podatność (CWE-259, CWE-798) oznacza, że hasło jest identyczne we wszystkich egzemplarzach urządzenia. Atakujący, który pozna to hasło — np. poprzez analizę oprogramowania układowego lub z publicznie dostępnych źródeł — może bez przeszkód zalogować się do panelu administracyjnego przez sieć, bez potrzeby posiadania jakichkolwiek wcześniejszych uprawnień.

Skutki

Atakujący uzyskuje pełny dostęp administracyjny do konsoli zarządzającej systemem pomiarowym paliwa, co może umożliwić manipulację danymi pomiarowymi, zmianę konfiguracji urządzenia lub zakłócenie działania infrastruktury stacji paliw.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (poradnik ICS CISA ICSA-24-268-04). Do czasu aktualizacji zaleca się izolację urządzeń od sieci publicznej, ograniczenie dostępu sieciowego do panelu webowego wyłącznie do zaufanych adresów IP oraz monitorowanie logów dostępu pod kątem nieautoryzowanych logowań.

Kogo dotyczy

Dover Fueling Solutions ProGauge MAGLINK LX Console (firmware i oprogramowanie) oraz ProGauge MAGLINK LX4 Console (firmware i oprogramowanie) — dokładne wersje wskazane w referencjach producenta (ICSA-24-268-04)

Uwagi

Podatność dotyczy systemów OT/ICS stosowanych w infrastrukturze stacji paliw (systemy pomiarowe zbiorników). Poradnik bezpieczeństwa został opublikowany przez CISA jako ICS Advisory ICSA-24-268-04.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Doverfuelingsolutions Progauge Maglink Lx4 Console

    HW
    Doverfuelingsolutions
    wszystkie wersje
  • Doverfuelingsolutions Progauge Maglink Lx4 Console Firmware

    OS
    Doverfuelingsolutions
    ≤ 4.17.9e
  • Doverfuelingsolutions Progauge Maglink Lx Console

    HW
    Doverfuelingsolutions
    wszystkie wersje
  • Doverfuelingsolutions Progauge Maglink Lx Console Firmware

    OS
    Doverfuelingsolutions
    ≤ 3.4.2.2.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-43692CRITICAL9.3PL ✓ten sam produkt

Pominięcie uwierzytelnienia w ProGauge MAGLINK LX Console

CVE-2024-43693CRITICAL10.0PL ✓ten sam produkt

Command injection w ProGauge MAGLINK LX Console — zdalne wykonanie poleceń

CVE-2024-45066CRITICAL10.0PL ✓ten sam produkt

Command injection w konsolach ProGauge MAGLINK LX/LX4 — zdalne wykonanie poleceń

CVE-2024-41725HIGH8.7ten sam produkt

ProGauge MAGLINK LX CONSOLE does not have sufficient filtering on input fields that are used to render pages ...

CVE-2024-45373HIGH8.7ten sam produkt

Once logged in to ProGauge MAGLINK LX4 CONSOLE, a valid user can change their privileges to administrator.