Radiometrics VizAir nie wymaga uwierzytelnienia dla krytycznych funkcji, takich jak dostęp administracyjny i żądania API. Podatność jest wyjątkowo groźna ze względu na możliwość manipulowania danymi lotniczymi i meteorologicznymi, co może bezpośrednio zagrażać bezpieczeństwu ruchu lotniczego.
▸ Pokaż oryginał (EN)
Radiometrics VizAir is vulnerable to a lack of authentication mechanisms for critical functions, such as admin access and API requests. Attackers can modify configurations without authentication, potentially manipulating active runway settings and misleading air traffic control (ATC) and pilots. Additionally, manipulated meteorological data could mislead forecasters and ATC, causing inaccurate flight planning.
Atakujący bez żadnych poświadczeń może uzyskać dostęp do panelu administracyjnego oraz wywoływać żądania API systemu VizAir. Brak mechanizmów uwierzytelnienia (CWE-306) pozwala na nieautoryzowaną modyfikację konfiguracji systemu, w tym ustawień aktywnych pasów startowych oraz danych meteorologicznych. Zmanipulowane dane mogą być następnie prezentowane kontrolerom ruchu lotniczego (ATC) i pilotom jako wiarygodne informacje operacyjne.
Atakujący może zdalnie i bez uwierzytelnienia modyfikować konfigurację systemu, fałszować dane o stanie pasów startowych oraz manipulować danymi meteorologicznymi, co może wprowadzać w błąd kontrolerów ruchu lotniczego (ATC), pilotów i meteorologów, prowadząc do błędnego planowania lotów i potencjalnego zagrożenia bezpieczeństwa w lotnictwie.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (CISA ICS Advisory ICSA-25-308-04: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-04). Do czasu wdrożenia poprawek zaleca się izolację systemu od sieci publicznych, ograniczenie dostępu sieciowego do minimum oraz zastosowanie dodatkowych mechanizmów kontroli dostępu na poziomie sieci (firewall, VPN).
Radiometrics VizAir — wersje wskazane w referencjach producenta (advisory ICSA-25-308-04)
Podatność dotyczy systemu klasy OT/ICS wykorzystywanego w lotnictwie (systemy meteorologiczne lotnisk). Advisory zostało opublikowane przez CISA w ramach serii ICS Advisories (ICSA-25-308-04). Ze względu na potencjalny wpływ na bezpieczeństwo ruchu lotniczego oraz maksymalny wynik CVSS 10.0, zalecane jest pilne działanie nawet przy braku potwierdzonych przypadków wykorzystania.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XRadiometrics Vizair
APPRadiometrics< 2025-08