Куда я попал?
BDU:2023-05921
CVSS: 9
31.08.2023
Уязвимость программного средства удаленного доступа к устройствам в сети Digi RealPort, связанная с использованием хэша пароля вместо пароля для аутентификации, позволяющая нарушителю скомпрометировать целевую систему
Уязвимость программного средства удаленного доступа к устройствам в сети Digi RealPort связана с использованием хэша пароля вместо пароля для аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, скомпрометировать целевую систему
| Статус уязвимости: |
Подтверждена производителем
Уязвимость устранена
|
| Дата выявления: | 31.08.2023 |
| Класс уязвимости: | Уязвимость кода |
| Наличие эксплойта: | Данные уточняются |
| Способ эксплуатации: | Нарушение аутентификации |
| Способ устранения: | Нет данных |
| Меры по устранению: | Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - ограничить доступ к устройствам Digi через TCP/771 (по умолчанию) или TCP/1027 (если шифрование включено то - это порт по умолчанию); - разрешить только рабочим станциям, которые инициируют соединения RealPort, обмениваться данными с оборудованием через эти порты. Использование рекомендаций производителя: https://www.digi.com/getattachment/resources/security/alerts/realport-cves/Dragos-Disclosure-Statement.pdf |
Идентификатор типа ошибки
Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
| Идентификатор | Описание |
|---|---|
| CWE-836 | CWE-836 Use of Password Hash Instead of Password for Authentication |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2023-4299 | Digi RealPort Protocol Use of Password Hash Instead of Password for Authentication |
CVSS
Система общей оценки уязвимостей
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 7.6 | HIGH | 2.0 | AV:N/AC:H/Au:N/C:C/I:C/A:C |
| 9 | HIGH | 3.0 | AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
Идентификаторы других систем описаний уязвимостей
CVE-2023-4299
ICSA-23-243-04
| Вендор: |
|
| Тип ПО: |
|
| Наименование ПО: |
|
| Версия ПО: |
|
| Ссылки на источники: |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.