Уязвимость, связанная с хранением паролей в восстанавливаемом формате, в системе баз данных контроллера автоматизации в реальном времени (S…
Уязвимость, связанная с хранением паролей в восстанавливаемом формате, в системе баз данных контроллера автоматизации в реальном времени (SEL RTAC) Schweitzer Engineering Laboratories может позволить аутентифицированному злоумышленнику получить пароли. Дополнительные сведения см. в служебном бюллетене SEL от 2022-11-15.
Хранение паролей в восстанавливаемом формате делает их уязвимыми к атакам повторного использования со стороны злоумышленников. Следует учитывать, что восстанавливаемые зашифрованные пароли не дают существенного преимущества перед паролями в открытом виде, поскольку доступны не только внешним злоумышленникам, но и недобросовестным сотрудникам. Если системный администратор может восстановить пароль напрямую или посредством перебора доступной информации, он может использовать этот пароль и для других учётных записей.
https://cwe.mitre.org/data/definitions/257.html →Открыть в коллекции CWE →Злоумышленник перебирает все возможные значения пароля до тех пор, пока не достигает успеха. Атака полного перебора, если она вычислительно выполнима, всегда успешна, поскольку по существу перебирает все возможные пароли, образуемые применяемым алфавитом (строчные и прописные буквы, цифры, специальные символы и т. д.) с учётом максимальной длины пароля.
https://capec.mitre.org/data/definitions/49.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| sel-2241_rtac_module_firmware | * | Отслеживается |
| sel-3350_firmware | * | Отслеживается |
| sel-3505-3_firmware | * | Отслеживается |
| sel-3505_firmware | * | Отслеживается |
| sel-3530-4_firmware | * | Отслеживается |
| sel-3530_firmware | * | Отслеживается |
| sel-3532_firmware | * | Отслеживается |
| sel-3555_firmware | * | Отслеживается |
| sel-3560e_firmware | * | Отслеживается |
| sel-3560s_firmware | * | Отслеживается |