CRITICAL🇬🇧 English

CVE-2025-22896

mySCADA myPRO Manager — przechowywanie poświadczeń w postaci jawnej (cleartext)

CVSS 9.2v4.0pub. 2025-02-13upd. 2025-03-04

mySCADA myPRO Manager przechowuje poświadczenia użytkowników w postaci niezaszyfrowanej (cleartext), co umożliwia atakującemu uzyskanie dostępu do wrażliwych danych uwierzytelniających. Ze względu na sieciowy charakter ataku (AV:N) bez wymagania jakiegokolwiek uwierzytelnienia, podatność stanowi poważne zagrożenie dla bezpieczeństwa środowisk przemysłowych (ICS/SCADA).

Pokaż oryginał (EN)

mySCADA myPRO Manager stores credentials in cleartext, which could allow an attacker to obtain sensitive information.

🤖 Analiza AI
Jak działa

Aplikacja mySCADA myPRO Manager zapisuje dane uwierzytelniające (np. loginy i hasła) w sposób jawny — bez szyfrowania ani odpowiedniego zabezpieczenia (CWE-312: Cleartext Storage of Sensitive Information). Atakujący, który uzyska dostęp do plików konfiguracyjnych, pamięci aplikacji lub ruchu sieciowego, może odczytać te poświadczenia bez żadnego dodatkowego wysiłku kryptograficznego. Podatność jest dostępna zdalnie, nie wymaga uwierzytelnienia ani interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać dostęp do poświadczeń przechowywanych przez aplikację, a następnie wykorzystać je do nieautoryzowanego dostępu do systemów SCADA i powiązanej infrastruktury przemysłowej, co może prowadzić do poważnych naruszeń poufności danych systemowych i procesowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się pobranie zaktualizowanej wersji ze strony producenta (https://www.myscada.org/downloads/mySCADAPROManager/) oraz zapoznanie się z zaleceniami CISA opisanymi w poradniku ICSA-25-044-16. Dodatkowo rekomenduje się izolację systemów SCADA od sieci publicznych, ograniczenie dostępu do plików konfiguracyjnych oraz monitorowanie dostępu do wrażliwych zasobów.

Kogo dotyczy

mySCADA myPRO Manager — wersje wskazane w referencjach producenta (CISA ICS Advisory ICSA-25-044-16)

Uwagi

Podatność została opisana w poradniku ICS firmy CISA o numerze ICSA-25-044-16, opublikowanym 13 lutego 2025 roku, dotyczącym systemów sterowania przemysłowego (ICS). Wysoki wynik CVSS 9.2 wynika m.in. z wysokiego wpływu na poufność zarówno w kontekście systemu dotkniętego podatnością (VC:H), jak i systemów z nim powiązanych (SC:H).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Myscada Mypro

    APP
    Myscada
    < 1.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-24865CRITICAL10.0PL ✓ten sam produkt

Brak uwierzytelnienia w panelu administracyjnym mySCADA myPRO Manager

CVE-2025-25067CRITICAL9.3PL ✓ten sam produkt

Command Injection w mySCADA myPRO Manager — zdalne wykonanie poleceń OS

CVE-2024-4708CRITICAL9.3PL ✓ten sam produkt

mySCADA myPRO — hardcoded password umożliwiający zdalne wykonanie kodu

CVE-2022-2234CRITICAL9.9ten sam produkt

An authenticated mySCADA myPRO 8.26.0 user may be able to modify parameters to run commands directly in the op...

CVE-2021-43981CRITICAL10.0ten sam produkt

mySCADA myPRO: Versions 8.20.0 and prior has a feature to send emails, which may allow an attacker to inject a...