Serwer WWW urządzenia ONS-S8 Spectra Aggregation Switch implementuje niekompletny proces uwierzytelniania, który umożliwia atakującemu zalogowanie się bez znajomości hasła. Podatność jest krytyczna, ponieważ dostęp do panelu administracyjnego przełącznika sieciowego może prowadzić do pełnego przejęcia kontroli nad urządzeniem.
▸ Pokaż oryginał (EN)
The web server for ONS-S8 - Spectra Aggregation Switch includes an incomplete authentication process, which can lead to an attacker authenticating without a password.
Mechanizm uwierzytelniania wbudowanego serwera WWW nie weryfikuje w sposób kompletny tożsamości użytkownika, co skutkuje możliwością ominięcia etapu podania hasła. Atakujący zdalny, nieuwierzytelniony, bez konieczności interakcji ze strony użytkownika ani spełnienia dodatkowych warunków, może przeprowadzić skuteczne uwierzytelnienie do interfejsu webowego urządzenia. Podatność jest sklasyfikowana jako CWE-1390 (Weak Authentication), co wskazuje na fundamentalną wadę w logice procesu weryfikacji tożsamości.
Atakujący uzyskuje nieautoryzowany dostęp do interfejsu zarządzania przełącznikiem sieciowym, co może umożliwić mu odczyt i modyfikację konfiguracji urządzenia, co z kolei zagraża poufności i integralności całej infrastruktury sieciowej obsługiwanej przez przełącznik.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach zawierających poprawkę dostępne są w advisory CISA ICSA-24-275-01 pod adresem https://www.cisa.gov/news-events/ics-advisories/icsa-24-275-01. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu do interfejsu WWW urządzenia wyłącznie do zaufanych sieci zarządzania (np. poprzez firewall lub dedykowany VLAN zarządzający).
Urządzenie ONS-S8 Spectra Aggregation Switch — konkretne wersje firmware wskazane w referencjach producenta (advisory ICSA-24-275-01 opublikowane przez CISA)
Podatność dotyczy urządzenia przemysłowego (ICS/OT) — informacja pochodzi z kanału advisory ICS CISA (ICSA-24-275-01). Środowiska OT powinny traktować tę podatność priorytetowo ze względu na potencjalny wpływ na ciągłość działania infrastruktury sieciowej.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X