8.8 CVE-2023-20038
Brute Force Malware Risk (MITRE)
Eine Schwachstelle in der Überwachungsanwendung von Cisco Industrial Network Director könnte es einem authentifizierten, lokalen Angreifer ermöglichen, auf einen statischen geheimen Schlüssel zuzugreifen, der zum Speichern von lokalen Daten und Anmeldeinformationen für den Zugriff auf Remote-Systeme verwendet wird. Diese Schwachstelle ist auf einen statischen Schlüsselwert zurückzuführen, der in der Anwendung gespeichert ist und zur Verschlüsselung von Anwendungsdaten und Remote-Anmeldeinformationen verwendet wird. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er sich lokalen Zugriff auf den Server verschafft, auf dem Cisco Industrial Network Director installiert ist. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, Daten zu entschlüsseln und so auf entfernte Systeme zuzugreifen, die von Cisco Industrial Network Director überwacht werden.
https://nvd.nist.gov/vuln/detail/CVE-2023-20038
Kategorien
CWE-798 : Verwendung von hartkodierten Anmeldeinformationen
Das Produkt enthält fest kodierte Anmeldeinformationen, z. B. ein Kennwort oder einen kryptografischen Schlüssel, die es für seine eigene eingehende Authentifizierung, die ausgehende Kommunikation mit externen Komponenten oder die Verschlüsselung interner Daten verwendet. Die Speicherung von Anmeldeinformationen in Konfigurationsdateien kann mit Black-Box-Methoden gefunden werden, aber die Verwendung von fest kodierten Anmeldeinformationen für eine eingehende Authentifizierungsroutine beinhaltet normalerweise ein Konto, das außerhalb des Codes nicht sichtbar ist. Es wurden automatisierte White-Box-Methoden veröffentlicht, um hart kodierte Anmeldeinformationen für die eingehende Authentifizierung zu erkennen, aber die Experten sind sich nicht einig, ob sie effektiv und für eine breite Palette von Methoden anwendbar sind. Diese Schwachstelle lässt sich möglicherweise durch eine manuelle Codeanalyse aufdecken. Sofern die Authentifizierung nicht dezentralisiert ist und im gesamten Produkt angewandt wird, kann der Analyst genügend Zeit haben, um eingehende Authentifizierungsroutinen zu finden und die Programmlogik auf die Verwendung von fest kodierten Anmeldeinformationen zu untersuchen. Auch Konfigurationsdateien könnten analysiert werden. Für die eingehende Authentifizierung: Anstatt einen Standard-Benutzernamen und ein Kennwort, einen Schlüssel oder andere Authentifizierungsdaten für die Erstanmeldung fest zu codieren, sollten Sie einen Modus "Erstanmeldung" verwenden, bei dem der Benutzer ein eindeutiges sicheres Kennwort oder einen Schlüssel eingeben muss. Wenn das Produkt fest kodierte Anmeldeinformationen enthalten muss oder diese nicht entfernt werden können, führen Sie Zugriffskontrollen durch und schränken Sie ein, welche Entitäten auf die Funktion zugreifen können, die die fest kodierten Anmeldeinformationen erfordert. So kann eine Funktion beispielsweise nur über die Systemkonsole und nicht über eine Netzwerkverbindung aktiviert werden. Die Firmware des Zustandsmonitors verfügt über eine Wartungsschnittstelle mit fest kodierten Anmeldeinformationen Die Engineering Workstation verwendet fest kodierte kryptografische Schlüssel, die einen nicht autorisierten Zugriff auf das Dateisystem und eine Ausweitung der Berechtigungen ermöglichen könnten Distributed Control System (DCS) verfügt über fest kodierte Passwörter für den lokalen Shell-Zugriff Programmable Logic Controller (PLC) verfügt über einen Wartungsdienst, der undokumentierte Firmware für ein Safety Instrumented System (SIS) hat fest kodierte Zugangsdaten für den Zugriff auf die Boot-Konfiguration Remote Terminal Unit (RTU) verwendet einen fest kodierten privaten SSH-Schlüssel, der wahrscheinlich in typischen Implementierungen verwendet wird Telnet-Dienst für IoT-Zubringer für Hunde und Katzen hat fest kodiertes Passwort [REF-1288] Installationsskript hat einen fest kodierten geheimen Token-Wert, ermöglicht Angreifern die Umgehung der Authentifizierung SCADA-System verwendet ein fest kodiertes Passwort zum Schutz der Back-End-Datenbank, die Autorisierungsinformationen enthält, die vom Stuxnet-Wurm ausgenutzt wurden FTP-Server-Bibliothek verwendet fest kodierte Benutzernamen und Passwörter für drei Standardkonten Kette: Router-Firmware verwendet fest kodierten Benutzernamen und Kennwort für den Zugriff auf Debug-Funktionen, mit denen beliebiger Code ausgeführt werden kann Server verwendet fest kodierten Authentifizierungsschlüssel Backup-Produkt verwendet fest kodierten Benutzernamen und Kennwort, so dass Angreifer die Authentifizierung über die RPC-Schnittstelle umgehen können Sicherheitsanwendung verwendet fest kodiertes Kennwort, so dass Angreifer Root-Zugriff erlangen können Laufwerksverschlüsselungsprodukt speichert fest kodierte kryptografische Schlüssel für verschlüsselte Konfigurationsdateien in ausführbaren Programmen VoIP-Produkt verwendet fest kodierte öffentliche Anmeldedaten, die nicht geändert werden können, VoIP-Produkt verwendet fest kodierte öffentliche und private SNMP-Community-Strings, die nicht geändert werden können, was Angreifern den Zugriff auf sensible Informationen ermöglicht Backup-Produkt enthält fest kodierte Anmeldeinformationen, die effektiv als Hintertür dienen und Angreifern den Zugriff auf das Dateisystem ermöglichen
Referenzen
CPE
| cpe |
start |
ende |
| Configuration 1 |
| cpe:2.3:a:cisco:industrial_network_director:*:*:*:*:*:*:*:* |
|
< 1.6.0 |
REMEDIERUNG
EXPLOITS
Exploit-db.com
| id |
beschreibung |
datum |
|
| Keine bekannten Exploits |
Andere (github, ...)
| Url |
| Keine bekannten Exploits |
CAPEC
Common Attack Pattern Enumerations and Classifications
| id |
beschreibung |
schweregrad |
| 191 |
Read Sensitive Constants Within an Executable
|
Niedrig |
| 70 |
Try Common or Default Usernames and Passwords
Ein Angreifer kann bestimmte gängige oder Standard-Benutzernamen und -Kennwörter ausprobieren, um sich Zugang zum System zu verschaffen und unbefugte Aktionen durchzuführen. Ein Angreifer kann einen intelligenten Brute-Force-Angriff mit leeren Passwörtern, bekannten Standard-Anmeldedaten des Herstellers sowie einem Wörterbuch mit gängigen Benutzernamen und Passwörtern versuchen. Viele Herstellerprodukte sind mit Standardbenutzernamen und -kennwörtern vorkonfiguriert, die vor der Verwendung in einer Produktionsumgebung gelöscht werden sollten. Es ist ein häufiger Fehler, zu vergessen, diese Standard-Anmeldedaten zu entfernen. Ein weiteres Problem besteht darin, dass Benutzer sehr einfache (gängige) Passwörter wählen (z. B. "secret" oder "password"), die es dem Angreifer leichter machen, sich Zugang zum System zu verschaffen, als wenn er einen Brute-Force-Angriff oder sogar einen Wörterbuchangriff mit einem vollständigen Wörterbuch durchführt. |
Hoch |
MITRE
Techniken
| id |
beschreibung |
| T1078.001 |
Gültige Konten:Standardkonten |
| T1552.001 |
Ungesicherte Anmeldedaten:Anmeldedaten in Dateien |
| © 2022 The MITRE Corporation. Dieses Werk wird mit Genehmigung von The MITRE Corporation vervielfältigt und verbreitet. |
Abhilfemaßnahmen
| id |
beschreibung |
| T1078.001 |
Anwendungen und Geräte, die einen Standard-Benutzernamen und ein Standard-Passwort verwenden, sollten unmittelbar nach der Installation und vor der Bereitstellung in einer Produktionsumgebung geändert werden. |
| T1552.001 |
Stellen Sie sicher, dass Entwickler und Systemadministratoren sich des Risikos bewusst sind, das mit Klartextpasswörtern in Softwarekonfigurationsdateien verbunden ist, die auf Endpunktsystemen oder Servern verbleiben können. |
| © 2022 The MITRE Corporation. Dieses Werk wird mit Genehmigung von The MITRE Corporation vervielfältigt und verbreitet. |
Sherlock® flash
Machen Sie mit wenigen Klicks ein Foto von Ihrem Computernetzwerk !
Mit der Sherlock® flash Audit-Lösung können Sie ein Audit durchführen, um die Sicherheit Ihres Computerbestands zu erhöhen. Scannen Sie Ihre physischen und virtuellen Geräte auf Schwachstellen. Planung von Patches nach Priorität und verfügbarer Zeit. Detaillierte und intuitive Berichte.
Entdecke dieses Angebot
