Urządzenia z serii SPRECON-E firmy Sprecher Automation wykorzystują domyślne klucze kryptograficzne, co umożliwia nieuwierzytelnionemu atakującemu zdalnemu odszyfrowanie całej komunikacji. Podatność zagraża zarówno poufności, jak i integralności przesyłanych danych.
▸ Pokaż oryginał (EN)
Sprecher Automations SPRECON-E series uses default cryptographic keys that allow an unprivileged remote attacker to access all encrypted communications, thereby compromising confidentiality and integrity.
Oprogramowanie układowe urządzeń SPRECON-E zawiera predefiniowane (domyślne) klucze kryptograficzne wspólne dla wszystkich egzemplarzy danej serii. Atakujący posiadający wiedzę o tych kluczach — np. uzyskaną przez analizę firmware'u — może bez żadnych uprawnień przechwycić i odszyfrować zaszyfrowaną komunikację sieciową urządzeń. Brak indywidualizacji kluczy oznacza, że kompromitacja jednego egzemplarza skutkuje kompromitacją szyfrowania we wszystkich urządzeniach tej serii.
Atakujący może uzyskać pełny dostęp do treści zaszyfrowanej komunikacji (naruszenie poufności) oraz potencjalnie modyfikować przesyłane dane (naruszenie integralności), co w przypadku urządzeń automatyki przemysłowej może prowadzić do zakłócenia procesów sterowania.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.sprecher-automation.com/fileadmin/itSecurity/PDF/SPR-2511043_de.pdf). Do czasu wdrożenia poprawek zaleca się izolację urządzeń SPRECON-E od sieci zewnętrznych oraz ograniczenie dostępu sieciowego do tych urządzeń wyłącznie do zaufanych hostów poprzez segmentację sieci i firewall.
Sprecher Automation SPRECON-E-T3 Firmware, SPRECON-E-C Firmware, SPRECON-E-C, SPRECON-E-P Firmware, SPRECON-E-T3 — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NSprecher Automation Sprecon E C
HWSprecher-Automationwszystkie wersjeSprecher Automation Sprecon E C Firmware
OSSprecher-Automationwszystkie wersjeSprecher Automation Sprecon E P
HWSprecher-Automationwszystkie wersjeSprecher Automation Sprecon E P Firmware
OSSprecher-Automationwszystkie wersjeSprecher Automation Sprecon E T3
HWSprecher-Automationwszystkie wersjeSprecher Automation Sprecon E T3 Firmware
OSSprecher-Automationwszystkie wersje
Powiązane podatności
Sprecher-Automation Sprecon-E: domyślne klucze kryptograficzne umożliwiają pełny dostęp zdalny
Hardcoded Credentials in multiple SPRECON-E CPU variants of Sprecher Automation allows an remote attacker to t...
Insufficient encryption strength in Sprecher Automation SPRECON-E-C, SPRECON-E-P, and SPRECON-E-T3 allows a lo...
Improper Privilege Management in Sprecher Automation SPRECON-E below version 8.71j allows a remote attacker wi...
In Sprecher Automation SPRECON-E-C/P/T3 CPU in variant PU244x a vulnerable firmware verification has been iden...