ICS-CERT informuje o nowych podatnościach w produktach firmy SAUTER Controls

utworzone przez | sty 13, 2023 | ICS

ProduktNova – wiele wersji i platform
moduNet300 – wiele wersji
Numer CVECVE-2023-0052
Krytyczność9.8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisSeria SAUTER Controls Nova 200–220 z oprogramowaniem układowym w wersji 3.3-006 i starszymi oraz BACnetstac w wersji 4.2.1 i starszymi umożliwia wykonywanie poleceń bez poświadczeń. Ponieważ Telnet i protokół przesyłania plików (FTP) są jedynymi protokołami dostępnymi do zarządzania urządzeniami, nieautoryzowany użytkownik może uzyskać dostęp do systemu i zmodyfikować konfigurację urządzenia, co może spowodować, że nieautoryzowany użytkownik wykona nieograniczone szkodliwe polecenia.
  
Numer CVECVE-2023-0053
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
OpisSterowniki SAUTER z serii Nova 200–220 z oprogramowaniem układowym w wersji 3.3-006 i wcześniejszej oraz BACnetstac w wersji 4.2.1 i wcześniejszej mają dostęp tylko do FTP i Telnet do zarządzania urządzeniem. Wszelkie poufne informacje przekazywane za pośrednictwem tych protokołów, takie jak dane uwierzytelniające, są przesyłane w postaci zwykłego tekstu. Osoba atakująca może uzyskać poufne informacje, takie jak poświadczenia użytkownika, w celu uzyskania dostępu do systemu.
  
AktualizacjaTAK
Linkhttps://www.cisa.gov/uscert/ics/advisories/icsa-23-012-05