Конфиденциальная информация, не очищенная после отладки/перехода в состояние питания в контроллере 6000, может быть использована злоумышлен…
Конфиденциальная информация, не очищенная после отладки/перехода в состояние питания в контроллере 6000, может быть использована злоумышленником, знающим пароль диагностики по умолчанию контроллера и имеющим физический доступ к контроллеру, для просмотра его конфигурации через диагностические веб-страницы. Эта проблема затрагивает: Gallagher Controller 6000 8.70 до vCR8.70.231204a (распространяется в 8.70.2375 (MR5)), v8.60 или более ранних версий.
Продукт выполняет переход в режим отладки или изменение состояния питания, однако не очищает чувствительную информацию, к которой не должен быть предоставлен доступ в связи с изменением ограничений на доступ к данным.
https://cwe.mitre.org/data/definitions/1272.html →Открыть в коллекции CWE →Злоумышленник исследует целевую систему для поиска конфиденциальных данных, встроенных в неё. Эта информация может раскрывать конфиденциальные сведения, такие как номера счетов или отдельные ключи/учётные данные, которые могут использоваться в качестве промежуточного шага в более масштабной атаке.
https://capec.mitre.org/data/definitions/37.html →Открыть в коллекции CAPEC →Злоумышленник использует хорошо известные расположения ресурсов с целью подрыва безопасности цели. В большинстве систем файлы и ресурсы организованы в стандартную древовидную структуру. Это удобно для злоумышленников, поскольку они нередко знают, где искать ресурсы или файлы, необходимые для проведения атак. Даже если точное расположение целевого ресурса неизвестно, соглашения об именовании могут указывать на небольшую область дерева файлов целевой машины, в которой обычно расположены ресурсы. Например, конфигурационные файлы в системах Unix, как правило, хранятся в каталоге /etc. Злоумышленники могут использовать это для проведения атак других типов.
https://capec.mitre.org/data/definitions/150.html →Открыть в коллекции CAPEC →Злоумышленник, авторизованный или имеющий возможность выполнять поиск по известным системным ресурсам, делает это с целью сбора полезной информации. Системные ресурсы включают файлы, память и другие аспекты целевой системы. При данном шаблоне атаки злоумышленник не обязательно знает заранее, что именно он обнаружит в ходе извлечения данных. Это отличает данный шаблон от CAPEC-150, где злоумышленник знает, что именно ищет, благодаря общеизвестному расположению данных.
https://capec.mitre.org/data/definitions/545.html →Открыть в коллекции CAPEC →Злоумышленник получает несанкционированную информацию вследствие ненадёжного или неполного удаления данных в многопользовательской среде. Если поставщик облачных услуг не удаляет полностью хранилища и данные бывших облачных арендаторов из систем/ресурсов, то после выделения этих ресурсов новым, потенциально вредоносным арендаторам последние могут исследовать предоставленные ресурсы на предмет всё ещё хранящейся конфиденциальной информации.
https://capec.mitre.org/data/definitions/546.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| controller_6000_firmware | * | Отслеживается |