Urządzenie SIMATIC CN 4100 przechowuje wrażliwe informacje (np. dane uwierzytelniające) bezpośrednio w firmware w sposób umożliwiający ich odczyt przez nieuprawnionego atakującego. Podatność sklasyfikowana jako krytyczna (CVSS 9.2) może prowadzić do naruszenia poufności, integralności i dostępności urządzenia.
▸ Pokaż oryginał (EN)
A vulnerability has been identified in SIMATIC CN 4100 (All versions < V4.0.1). The affected device stores sensitive information in the firmware. This could allow an attacker to access and misuse this information, potentially impacting the device’s confidentiality, integrity, and availability.
Zgodnie z CWE-798 (Use of Hard-coded Credentials), producent umieścił w firmware urządzenia wrażliwe dane w postaci statycznej — dostępnej dla każdego, kto uzyska dostęp do obrazu firmware lub samego urządzenia. Atakujący, który odzyska te informacje, może wykorzystać je do nieuprawnionego dostępu lub dalszego kompromitowania systemu. Ponieważ dane są zakodowane na stałe, nie ma możliwości ich zmiany przez użytkownika końcowego bez aktualizacji oprogramowania.
Atakujący może odczytać zakodowane w firmware dane uwierzytelniające lub inne wrażliwe informacje i wykorzystać je do przejęcia kontroli nad urządzeniem, wpływając na jego poufność, integralność oraz dostępność.
Należy zaktualizować firmware urządzenia SIMATIC CN 4100 do wersji V4.0.1 lub nowszej. Szczegółowe instrukcje dostępne są w poradniku bezpieczeństwa Siemens SSA-416652 pod adresem: https://cert-portal.siemens.com/productcert/html/ssa-416652.html
Siemens SIMATIC CN 4100 — wszystkie wersje firmware poniżej V4.0.1
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XSiemens Simatic Cn 4100
HWSiemenswszystkie wersjeSiemens Simatic Cn 4100 Firmware
OSSiemens< 4.0.1
Powiązane podatności
Ukryte dane uwierzytelniające w Siemens SIMATIC CN 4100 (hardcoded credentials)
Zakodowane na stałe hasło root w Siemens SIMATIC CN 4100
Siemens SIMATIC CN 4100 – domyślne dane uwierzytelniające z uprawnieniami administratora
A vulnerability has been identified in SIMATIC CN 4100 (All versions < V2.5). Affected device consists of impr...
A vulnerability has been identified in SIMATIC CN 4100 (All versions < V5.0). The affected application does no...