CRITICAL🇬🇧 English

CVE-2024-4708

mySCADA myPRO — hardcoded password umożliwiający zdalne wykonanie kodu

CVSS 9.3v4.0pub. 2024-07-02upd. 2024-11-21

Produkt mySCADA myPRO zawiera zakodowane na stałe hasło (hard-coded password), które może zostać wykorzystane przez atakującego do zdalnego wykonania kodu na podatnym urządzeniu. Podatność jest szczególnie groźna w środowiskach przemysłowych (ICS/SCADA), gdzie kompromitacja systemu może prowadzić do poważnych zakłóceń operacyjnych.

Pokaż oryginał (EN)

mySCADA myPRO uses a hard-coded password which could allow an attacker to remotely execute code on the affected device.

🤖 Analiza AI
Jak działa

W oprogramowaniu mySCADA myPRO zaszyte jest statyczne hasło (hard-coded password), które nie może zostać zmienione przez użytkownika w standardowy sposób. Atakujący posiadający wiedzę o tym haśle może uwierzytelnić się w systemie bez znajomości prawidłowych danych dostępowych. Po uzyskaniu dostępu możliwe jest zdalne wykonanie kodu (RCE) na urządzeniu, bez konieczności posiadania jakichkolwiek uprawnień ani interakcji ze strony użytkownika.

Skutki

Atakujący może zdalnie wykonać dowolny kod na podatnym urządzeniu, co prowadzi do pełnej utraty poufności, integralności i dostępności systemu. W kontekście systemów przemysłowych SCADA może to skutkować zakłóceniem lub przejęciem kontroli nad procesami przemysłowymi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły w advisory CISA ICSA-24-184-02 (https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-02) oraz na stronie producenta mySCADA.

Kogo dotyczy

mySCADA myPRO — wersje wskazane w referencjach producenta (advisory CISA ICSA-24-184-02)

Uwagi

Podatność dotyczy systemu klasy ICS/SCADA — advisory opublikowane przez CISA w ramach serii ICS Advisories (ICSA-24-184-02). Wektor ataku sieciowy bez wymaganych uprawnień i bez interakcji użytkownika (AV:N/AC:L/PR:N/UI:N) znacząco podnosi ryzyko w środowiskach przemysłowych wystawionych na sieć.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Myscada Mypro

    APP
    Myscada
    < 8.31.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-22896CRITICAL9.2PL ✓ten sam produkt

mySCADA myPRO Manager — przechowywanie poświadczeń w postaci jawnej (cleartext)

CVE-2025-25067CRITICAL9.3PL ✓ten sam produkt

Command Injection w mySCADA myPRO Manager — zdalne wykonanie poleceń OS

CVE-2025-24865CRITICAL10.0PL ✓ten sam produkt

Brak uwierzytelnienia w panelu administracyjnym mySCADA myPRO Manager

CVE-2022-2234CRITICAL9.9ten sam produkt

An authenticated mySCADA myPRO 8.26.0 user may be able to modify parameters to run commands directly in the op...

CVE-2021-43981CRITICAL10.0ten sam produkt

mySCADA myPRO: Versions 8.20.0 and prior has a feature to send emails, which may allow an attacker to inject a...