Urządzenie CHOCO TEI WATCHER mini (IB-MCT001) we wszystkich wersjach nie wymusza stosowania silnych haseł, co naraża je na ataki brute-force. Skuteczne wykorzystanie podatności może umożliwić nieautoryzowany dostęp i zalogowanie się do urządzenia.
▸ Pokaż oryginał (EN)
Weak password requirements issue exists in CHOCO TEI WATCHER mini (IB-MCT001) all versions. If this issue is exploited, a brute-force attack may allow an attacker unauthorized access and login.
Podatność wynika z braku odpowiednich wymagań dotyczących złożoności lub długości haseł (CWE-521 — Weak Password Requirements). Atakujący może przeprowadzić atak brute-force, systematycznie próbując kolejnych kombinacji haseł, aż do uzyskania dostępu. Ze względu na sieciowy wektor ataku (AV:N) i brak wymagań uwierzytelnienia (PR:N) oraz interakcji użytkownika (UI:N), atak jest możliwy zdalnie i bez żadnych warunków wstępnych.
Atakujący może uzyskać nieautoryzowany dostęp do urządzenia i zalogować się, co przy urządzeniu klasy ICS/OT może prowadzić do nieuprawnionego podglądu lub manipulacji danymi z linii produkcyjnej, a potencjalnie również do zakłócenia jej działania.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się izolację urządzenia od sieci publicznej, stosowanie silnych, unikalnych haseł oraz ograniczenie dostępu sieciowego do urządzenia za pomocą firewall lub segmentacji sieci OT.
CHOCO TEI WATCHER mini (IB-MCT001) — wszystkie wersje oprogramowania
Podatność dotyczy urządzenia klasy ICS (przemysłowy system sterowania) stosowanego do monitorowania linii produkcyjnych. CISA wydała poradnik ICS Advisory ICSA-25-084-04 dotyczący tego problemu.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H