CRITICAL🇬🇧 English

CVE-2025-13926

Fałszowanie pakietów sieciowych w Contemporary Controls BASC 20T

CVSS 9.3v4.0pub. 2026-04-09upd. 2026-04-13

Podatność w urządzeniu Contemporary Controls BASC 20T umożliwia atakującemu przechwycenie ruchu sieciowego, a następnie sfałszowanie pakietów w celu wysyłania dowolnych żądań do urządzenia. Ze względu na brak uwierzytelnienia i możliwość zdalnego wykorzystania, podatność jest oceniana jako krytyczna (CVSS 9.3).

Pokaż oryginał (EN)

An attacker could use data obtained by sniffing the network traffic to forge packets in order to make arbitrary requests to Contemporary Controls BASC 20T.

🤖 Analiza AI
Jak działa

Atakujący nasłuchuje ruch sieciowy (sniffing) i pozyskuje dane przesyłane do urządzenia BASC 20T. Na podstawie zebranych informacji konstruuje sfałszowane pakiety sieciowe, które imitują uprawnione żądania. Urządzenie nie weryfikuje w wystarczający sposób wiarygodności odebranych pakietów (CWE-807: Reliance on Untrusted Inputs in a Security Decision), co pozwala atakującemu na wykonywanie dowolnych operacji bez posiadania prawidłowych danych uwierzytelniających.

Skutki

Atakujący może wysyłać dowolne żądania do urządzenia BASC 20T, co może skutkować nieautoryzowaną modyfikacją jego konfiguracji lub zachowania, a w konsekwencji utratą integralności i poufności danych oraz dostępności urządzenia w środowisku przemysłowym (OT).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. W celu uzyskania szczegółowych informacji o aktualizacjach należy skontaktować się z pomocą techniczną Contemporary Controls pod adresem wskazanym w referencjach. Jako środek tymczasowy zaleca się segmentację sieci, ograniczenie dostępu do urządzenia wyłącznie do zaufanych hostów oraz monitorowanie ruchu sieciowego pod kątem anomalii.

Kogo dotyczy

Contemporary Controls BASC 20T — dokładne wersje firmware/oprogramowania wskazane w referencjach producenta i poradniku CISA (ICSA-26-099-01).

Uwagi

Podatność dotyczy środowiska OT (Operational Technology) — urządzenie BASC 20T jest sterownikiem stosowanym w systemach automatyki budynkowej. Szczegółowy poradnik bezpieczeństwa dostępny jest w ramach alertu ICS Advisory ICSA-26-099-01 opublikowanego przez CISA.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje