mySCADA myPRO Manager zawiera krytyczną podatność typu OS command injection, która umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń systemu operacyjnego. Ze względu na brak wymagań dotyczących uwierzytelnienia i dostępu sieciowego, podatność stanowi poważne zagrożenie dla środowisk przemysłowych (ICS/SCADA).
▸ Pokaż oryginał (EN)
mySCADA myPRO Manager is vulnerable to an OS command injection which could allow a remote attacker to execute arbitrary OS commands.
Podatność wynika z nieprawidłowej walidacji lub sanityzacji danych wejściowych przekazywanych do funkcji systemowych w mySCADA myPRO Manager (CWE-78). Atakujący może przesłać specjalnie spreparowane żądanie sieciowe zawierające złośliwe polecenia systemowe, które zostają wykonane bezpośrednio przez system operacyjny hosta. Atak nie wymaga posiadania żadnych uprawnień ani interakcji ze strony użytkownika, co czyni go szczególnie niebezpiecznym w środowiskach przemysłowych eksponowanych na sieć.
Atakujący może uzyskać pełną kontrolę nad systemem operacyjnym hosta, na którym działa mySCADA myPRO Manager, w tym możliwość odczytu i modyfikacji danych, instalacji złośliwego oprogramowania oraz zakłócenia działania procesów przemysłowych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Aktualizację można pobrać ze strony producenta (https://www.myscada.org/downloads/mySCADAPROManager/). Dodatkowo zaleca się odizolowanie systemów ICS/SCADA od sieci publicznej, stosowanie firewalla oraz ograniczenie dostępu sieciowego do systemu wyłącznie do zaufanych hostów.
mySCADA myPRO Manager — wersje wskazane w referencjach producenta oraz w poradniku CISA ICS-CERT (ICSA-25-044-16)
Podatność została opisana w poradniku CISA ICS-CERT o numerze ICSA-25-044-16, opublikowanym 13 lutego 2025 roku, co wskazuje na jej istotność w kontekście bezpieczeństwa infrastruktury przemysłowej.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMyscada Mypro
APPMyscada< 1.4
Powiązane podatności
mySCADA myPRO Manager — przechowywanie poświadczeń w postaci jawnej (cleartext)
Brak uwierzytelnienia w panelu administracyjnym mySCADA myPRO Manager
mySCADA myPRO — hardcoded password umożliwiający zdalne wykonanie kodu
An authenticated mySCADA myPRO 8.26.0 user may be able to modify parameters to run commands directly in the op...
mySCADA myPRO: Versions 8.20.0 and prior has a feature to send emails, which may allow an attacker to inject a...