Urządzenie wykorzystuje słaby algorytm hashowania do tworzenia skrótów haseł, co umożliwia atakującemu łatwe odtworzenie oryginalnego hasła. Podatność ma krytyczny wpływ na bezpieczeństwo i integralność urządzenia.
▸ Pokaż oryginał (EN)
The device uses a weak hashing alghorithm to create the password hash. Hence, a matching password can be easily calculated by an attacker. This impacts the security and the integrity of the device.
Mechanizm przechowywania haseł opiera się na słabym algorytmie hashowania (CWE-328), który nie zapewnia odpowiedniej odporności kryptograficznej. Atakujący, który uzyska dostęp do przechowywanych skrótów haseł, może w stosunkowo krótkim czasie obliczyć pasujące hasło w sposób nieuprawniony. Wynika to z podatności samego algorytmu na ataki słownikowe, brute-force lub precomputed hash (np. tablice tęczowe).
Atakujący może odtworzyć hasło uwierzytelniające do urządzenia, co prowadzi do pełnego naruszenia poufności, integralności i dostępności systemu — w tym nieautoryzowanego przejęcia kontroli nad urządzeniem.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (sick.com/psirt). Dodatkowo zaleca się zmianę haseł na urządzeniach, ograniczenie dostępu sieciowego do urządzeń oraz stosowanie się do wytycznych ICS CISA w zakresie zabezpieczania systemów przemysłowych.
Urządzenia SICK DL100 — szczegółowe wersje wskazane w referencjach producenta (sick.com/psirt oraz dokumentacja SICK IM0084411)
Podatność opisana publicznie przez zespół bezpieczeństwa Deutsche Telekom (github.security.telekom.com) w marcu 2025 roku, w ramach ujawnienia wielu podatności w urządzeniu SICK DL100.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H