ГлавнаяБаза уязвимостей БДУ → BDU:2023-05921
7.6критическая

BDU:2023-05921

Уязвимость программного средства удаленного доступа к устройствам в сети Digi RealPort, связанная с использованием хэша пароля вместо пароля для аутентификации, позволяющая нарушителю скомпрометировать целевую систему
Опубликовано: 2023-09-21
Описание

Уязвимость программного средства удаленного доступа к устройствам в сети Digi RealPort связана с использованием хэша пароля вместо пароля для аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, скомпрометировать целевую систему

Затрагиваемое ПО и версии
​Digi RealPort (до 4.8.488.0)​Digi RealPort (до 1.9-40)Digi ConnectPort TS 8/16 (до 2.26.2.4)​Digi Passport Console Server​Digi ConnectPort LTS 8/16/32 (до 1.4.9)​Digi CM Console ServerDigi PortServer TSDigi PortServer TS MEIDigi PortServer TS MEI HardenedDigi PortServer TS M MEIDigi PortServer TS P MEIDigi One IAP Family​Digi One IADigi One SP IADigi One SPDigi WR11 XTDigi WR44 R​Digi WR31Digi WR21Digi Connect ES (до 2.26.2.4)Digi Connect SP
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничить доступ к устройствам Digi через TCP/771 (по умолчанию) или TCP/1027 (если шифрование включено то - это порт по умолчанию);
- разрешить только рабочим станциям, которые инициируют соединения RealPort, обмениваться данными с оборудованием через эти порты.

Использование рекомендаций производителя:
https://www.digi.com/getattachment/resources/security/alerts/realport-cves/Dragos-Disclosure-Statement.pdf

Оценка CVSS
Балл7.6 — критическая опасность
Источники и патчи
https://www.cisa.gov/news-events/ics-advisories/icsa-23-243-04https://www.cybersecurity-help.cz/vdb/SB2023090414https://vuldb.com/?id.238495https://www.digi.com/getattachment/resources/security/alerts/realport-cves/Dragos-Disclosure-Statement.pdf
Проверьте безопасность своего сайта и почты → Полная проверка домена