Podatność polega na zastosowaniu domyślnych poświadczeń dostępu (CWE-1392), co pozwala nieuwierzytelnionemu atakującemu na pełne przejęcie kontroli nad podatnym systemem. Ocena CVSS 10.0 wskazuje na maksymalny poziom krytyczności.
▸ Pokaż oryginał (EN)
CWE-1392: Use of Default Credentials
Urządzenie lub oprogramowanie posiada wbudowane, fabrycznie ustawione dane uwierzytelniające (np. domyślną nazwę użytkownika i hasło), które nie zostały zmienione lub nie mogą zostać zmienione przez użytkownika. Atakujący, znając lub odgadując te domyślne poświadczenia, może uwierzytelnić się bez żadnej wcześniejszej autoryzacji przez sieć. Wektor ataku sieciowego (AV:N), brak wymaganej interakcji użytkownika (UI:N) oraz brak wymaganych uprawnień (PR:N) powodują, że exploit może być przeprowadzony zdalnie i w pełni automatycznie.
Atakujący uzyskuje pełen dostęp do systemu z możliwością odczytu i modyfikacji danych oraz zakłócenia jego działania, a zakres naruszenia wykracza poza pierwotnie zaatakowany komponent (S:C — zmiana zakresu).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako natychmiastowe działanie zaradcze należy zmienić wszystkie domyślne poświadczenia na unikalne i silne hasła, odizolować podatne systemy od publicznej sieci oraz ograniczyć dostęp wyłącznie do zaufanych adresów IP.
Wersje wskazane w referencjach producenta — szczegółowe informacje dostępne pod adresem referencyjnym izraelskiego rządu (gov.il)
Opis techniczny podatności jest bardzo ograniczony — jedyna dostępna informacja to klasyfikacja CWE-1392 oraz referencja do serwisu izraelskiego rządu. Nazwy konkretnych produktów nie zostały ujawnione w dostępnych metadanych. Zalecane jest śledzenie aktualizacji advisory pod adresem referencyjnym.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H