CRITICAL🇬🇧 English

CVE-2024-45032

Nieprawidłowa walidacja tokenów urządzeń w Siemens Industrial Edge Management

CVSS 10.0v4.0pub. 2024-09-10upd. 2026-04-15

Krytyczna podatność w Siemens Industrial Edge Management Pro i Virtual umożliwia nieuwierzytelnionemu atakującemu zdalne podszywanie się pod inne urządzenia zarejestrowane w systemie. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko bez jakichkolwiek wymagań wstępnych po stronie atakującego.

Pokaż oryginał (EN)

A vulnerability has been identified in Industrial Edge Management Pro (All versions < V1.9.5), Industrial Edge Management Virtual (All versions < V2.3.1-1). Affected components do not properly validate the device tokens. This could allow an unauthenticated remote attacker to impersonate other devices onboarded to the system.

🤖 Analiza AI
Jak działa

Podatne komponenty systemu nie przeprowadzają prawidłowej walidacji tokenów przypisanych do urządzeń (CWE-639 — nieprawidłowa kontrola dostępu oparta na identyfikatorach). Atakujący może wykorzystać ten błąd, aby posłużyć się tokenem innego urządzenia i uwierzytelnić się w systemie jako to urządzenie. Atak nie wymaga żadnego uwierzytelnienia, interakcji użytkownika ani szczególnych warunków sieciowych — wystarczy dostęp sieciowy do systemu.

Skutki

Atakujący może podszywać się pod dowolne urządzenie zarejestrowane w systemie Industrial Edge Management, co może prowadzić do nieautoryzowanego dostępu do danych, manipulacji konfiguracją urządzeń przemysłowych oraz naruszenia integralności środowiska brzegowego (edge).

Mitygacja

Należy zaktualizować Siemens Industrial Edge Management Pro do wersji V1.9.5 lub nowszej oraz Industrial Edge Management Virtual do wersji V2.3.1-1 lub nowszej. Szczegółowe informacje dostępne w biuletynie bezpieczeństwa Siemens SSA-359713 pod adresem: https://cert-portal.siemens.com/productcert/html/ssa-359713.html

Kogo dotyczy

Siemens Industrial Edge Management Pro (wszystkie wersje < V1.9.5) oraz Siemens Industrial Edge Management Virtual (wszystkie wersje < V2.3.1-1).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje