CRITICAL🇬🇧 English

CVE-2025-41742

Sprecher-Automation Sprecon-E: domyślne klucze kryptograficzne umożliwiają pełny dostęp zdalny

CVSS 9.8v3.1pub. 2025-12-02upd. 2026-02-23

Urządzenia Sprecher Automation SPRECON-E-C, SPRECON-E-P oraz SPRECON-E-T3 zawierają domyślne klucze kryptograficzne, które mogą zostać wykorzystane przez nieautoryzowanego zdalnego atakującego. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika, a jej wykorzystanie daje pełną kontrolę nad urządzeniem.

Pokaż oryginał (EN)

Sprecher Automations SPRECON-E-C,  SPRECON-E-P, SPRECON-E-T3 is vulnerable to attack by an unauthorized remote attacker via default cryptographic keys. The use of these keys allows the attacker to read, modify, and write projects and data, or to access any device via remote maintenance.

🤖 Analiza AI
Jak działa

Podatność wynika z obecności fabrycznie ustawionych kluczy kryptograficznych w oprogramowaniu urządzeń (CWE-1394 — użycie zakodowanych na stałe kluczy kryptograficznych). Atakujący posiadający wiedzę o tych kluczach może nawiązać zdalną sesję komunikacyjną z urządzeniem bez potrzeby podawania poświadczeń. Mechanizm ten pozwala na odczyt, modyfikację i zapis projektów oraz danych, a także na dostęp do dowolnego urządzenia za pośrednictwem zdalnej konserwacji (remote maintenance).

Skutki

Atakujący może uzyskać pełny, nieautoryzowany dostęp do urządzenia — odczytywać, modyfikować i zapisywać projekty oraz dane konfiguracyjne, a także przejmować kontrolę nad urządzeniami w ramach zdalnej obsługi serwisowej, co w środowisku przemysłowym (OT/ICS) może prowadzić do zakłócenia lub sabotażu procesów automatyki.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.sprecher-automation.com/fileadmin/itSecurity/PDF/SPR-2511042_de.pdf). Do czasu wdrożenia poprawki zaleca się izolację sieci, w której działają urządzenia, ograniczenie dostępu do portów zarządzania i zdalnej konserwacji wyłącznie do autoryzowanych hostów oraz wyłączenie funkcji zdalnej obsługi serwisowej jeśli nie jest niezbędna.

Kogo dotyczy

Sprecher Automation SPRECON-E-C, SPRECON-E-P oraz SPRECON-E-T3 (wersje firmware wskazane w referencjach producenta)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Sprecher Automation Sprecon E C

    HW
    Sprecher-Automation
    wszystkie wersje
  • Sprecher Automation Sprecon E C Firmware

    OS
    Sprecher-Automation
    wszystkie wersje
  • Sprecher Automation Sprecon E P

    HW
    Sprecher-Automation
    wszystkie wersje
  • Sprecher Automation Sprecon E P Firmware

    OS
    Sprecher-Automation
    wszystkie wersje
  • Sprecher Automation Sprecon E T3

    HW
    Sprecher-Automation
    wszystkie wersje
  • Sprecher Automation Sprecon E T3 Firmware

    OS
    Sprecher-Automation
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-41744CRITICAL9.1PL ✓ten sam produkt

Domyślne klucze kryptograficzne w urządzeniach Sprecher Automation SPRECON-E

CVE-2022-4333CRITICAL9.8ten sam produkt

Hardcoded Credentials in multiple SPRECON-E CPU variants of Sprecher Automation allows an remote attacker to t...

CVE-2025-41743MEDIUM4.0ten sam produkt

Insufficient encryption strength in Sprecher Automation SPRECON-E-C, SPRECON-E-P, and SPRECON-E-T3 allows a lo...

CVE-2024-6758MEDIUM6.5ten sam produkt

Improper Privilege Management in Sprecher Automation SPRECON-E below version 8.71j allows a remote attacker wi...

CVE-2022-4332MEDIUM6.8ten sam produkt

In Sprecher Automation SPRECON-E-C/P/T3 CPU in variant PU244x a vulnerable firmware verification has been iden...