CRITICAL🇬🇧 English

CVE-2025-30519

Dover Fueling Solutions ProGauge MagLink LX4 — domyślne dane uwierzytelniające root

CVSS 9.3v4.0pub. 2025-09-18upd. 2026-04-15

Urządzenia ProGauge MagLink LX4 firmy Dover Fueling Solutions posiadają domyślne dane uwierzytelniające konta root, których nie można zmienić standardowymi metodami administracyjnymi. Podatność umożliwia atakującemu z dostępem sieciowym do urządzenia uzyskanie pełnych uprawnień administratora.

Pokaż oryginał (EN)

Dover Fueling Solutions ProGauge MagLink LX4 Devices have default root credentials that cannot be changed through standard administrative means. An attacker with network access to the device can gain administrative access to the system.

🤖 Analiza AI
Jak działa

Urządzenie zawiera wbudowane, domyślne poświadczenia konta root, które są stałe i nie mogą zostać zmienione przez administratora za pomocą dostępnych standardowych mechanizmów zarządzania. Atakujący posiadający dostęp sieciowy do urządzenia może wykorzystać te znane poświadczenia do zalogowania się z najwyższymi uprawnieniami systemowymi. Ponieważ zmiana hasła jest niemożliwa w normalnym trybie administracyjnym, nie istnieje prosta metoda eliminacji tego wektora ataku bez zastosowania patcha producenta.

Skutki

Atakujący uzyskuje pełny dostęp administracyjny (root) do urządzenia, co umożliwia dowolną manipulację konfiguracją, odczyt wrażliwych danych oraz potencjalne zakłócenie pracy infrastruktury paliwowej obsługiwanej przez urządzenie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (poradnik ICS CISA ICSA-25-261-07 oraz informacje od Dover Fueling Solutions). Do czasu zastosowania poprawki należy ograniczyć dostęp sieciowy do urządzeń poprzez segmentację sieci, firewall i inne mechanizmy kontroli dostępu, tak aby urządzenia nie były bezpośrednio dostępne z niezaufanych sieci.

Kogo dotyczy

Urządzenia Dover Fueling Solutions ProGauge MagLink LX4 — konkretne wersje firmware wskazane w referencjach producenta (poradnik CISA ICSA-25-261-07).

Uwagi

Podatność dotyczy infrastruktury przemysłowej (ICS/OT) — automatyczne systemy pomiaru zbiorników paliwowych. CISA opublikowała dedykowany poradnik ICS (ICSA-25-261-07). Brak możliwości zmiany domyślnych poświadczeń root przez standardowe środki administracyjne znacząco utrudnia mitygację bez interwencji producenta.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje