BDU:2023-05921: Уязвимость программного средства удаленного доступа к устройствам в сети Digi RealPort, связанная с использованием хэша пароля вместо пароля для аутентификации, позволяющая нарушителю скомпрометировать целевую систему

Описание уязвимости

Уязвимость программного средства удаленного доступа к устройствам в сети Digi RealPort связана с использованием хэша пароля вместо пароля для аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, скомпрометировать целевую систему

Вендор

Digi International, Inc.

Наименование ПО

​Digi RealPort, Digi ConnectPort TS 8/16, ​Digi Passport Console Server, ​Digi ConnectPort LTS 8/16/32, ​Digi CM Console Server, Digi PortServer TS, Digi PortServer TS MEI, Digi PortServer TS MEI Hardened, Digi PortServer TS M MEI, Digi PortServer TS P MEI, Digi One IAP Family, ​Digi One IA, Digi One SP IA, Digi One SP, Digi WR11 XT, Digi WR44 R, ​Digi WR31, Digi WR21, Digi Connect ES, Digi Connect SP

Версия ПО

  • до 4.8.488.0 (​Digi RealPort)
  • до 1.9-40 (​Digi RealPort)
  • до 2.26.2.4 (Digi ConnectPort TS 8/16)
  • - (​Digi Passport Console Server)
  • до 1.4.9 (​Digi ConnectPort LTS 8/16/32)
  • - (​Digi CM Console Server)
  • - (Digi PortServer TS)
  • - (Digi PortServer TS MEI)
  • - (Digi PortServer TS MEI Hardened)
  • - (Digi PortServer TS M MEI)
  • - (Digi PortServer TS P MEI)
  • - (Digi One IAP Family)
  • - (​Digi One IA)
  • - (Digi One SP IA)
  • - (Digi One SP)
  • - (Digi WR11 XT)
  • - (Digi WR44 R)
  • - (​Digi WR31)
  • - (Digi WR21)
  • до 2.26.2.4 (Digi Connect ES)
  • - (Digi Connect SP)

Тип ПО

Сетевое средство, Сетевое программное средство, ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Использование хэша пароля вместо пароля для аутентификации

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

31.08.2023

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничить доступ к устройствам Digi через TCP/771 (по умолчанию) или TCP/1027 (если шифрование включено то - это порт по умолчанию);
- разрешить только рабочим станциям, которые инициируют соединения RealPort, обмениваться данными с оборудованием через эти порты.

Использование рекомендаций производителя:
https://www.digi.com/getattachment/resources/security/alerts/realport-cves/Dragos-Disclosure-Statement.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Нарушение аутентификации

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения