Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-05921: Уязвимость программного средства удаленного доступа к устройствам в сети Digi RealPort, связанная с использованием хэша пароля вместо пароля для аутентификации, позволяющая нарушителю скомпрометировать целевую систему

Описание уязвимости	Уязвимость программного средства удаленного доступа к устройствам в сети Digi RealPort связана с использованием хэша пароля вместо пароля для аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, скомпрометировать целевую систему
Вендор	Digi International, Inc.
Наименование ПО	Digi RealPort, Digi ConnectPort TS 8/16, Digi Passport Console Server, Digi ConnectPort LTS 8/16/32, Digi CM Console Server, Digi PortServer TS, Digi PortServer TS MEI, Digi PortServer TS MEI Hardened, Digi PortServer TS M MEI, Digi PortServer TS P MEI, Digi One IAP Family, Digi One IA, Digi One SP IA, Digi One SP, Digi WR11 XT, Digi WR44 R, Digi WR31, Digi WR21, Digi Connect ES, Digi Connect SP
Версия ПО	до 4.8.488.0 (Digi RealPort) до 1.9-40 (Digi RealPort) до 2.26.2.4 (Digi ConnectPort TS 8/16) - (Digi Passport Console Server) до 1.4.9 (Digi ConnectPort LTS 8/16/32) - (Digi CM Console Server) - (Digi PortServer TS) - (Digi PortServer TS MEI) - (Digi PortServer TS MEI Hardened) - (Digi PortServer TS M MEI) - (Digi PortServer TS P MEI) - (Digi One IAP Family) - (Digi One IA) - (Digi One SP IA) - (Digi One SP) - (Digi WR11 XT) - (Digi WR44 R) - (Digi WR31) - (Digi WR21) до 2.26.2.4 (Digi Connect ES) - (Digi Connect SP)
Тип ПО	Сетевое средство, Сетевое программное средство, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Использование хэша пароля вместо пароля для аутентификации
Идентификатор типа ошибки	CWE-836
Класс уязвимости	Уязвимость кода
Дата выявления	31.08.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - ограничить доступ к устройствам Digi через TCP/771 (по умолчанию) или TCP/1027 (если шифрование включено то - это порт по умолчанию); - разрешить только рабочим станциям, которые инициируют соединения RealPort, обмениваться данными с оборудованием через эти порты. Использование рекомендаций производителя: https://www.digi.com/getattachment/resources/security/alerts/realport-cves/Dragos-Disclosure-Statement.pdf
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение аутентификации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.cisa.gov/news-events/ics-advisories/icsa-23-243-04 https://www.cybersecurity-help.cz/vdb/SB2023090414 https://vuldb.com/?id.238495 https://www.digi.com/getattachment/resources/security/alerts/realport-cves/Dragos-Disclosure-Statement.pdf
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-4299 ICSA: ICSA-23-243-04
Прочая информация	Данные уточняются

Последние изменения