В веб-интерфейсе eCharge Hardy Barth cPH2 и cPP2 charging stations есть несколько скриптов, доступных через недокументированные жестко зада…
В веб-интерфейсе eCharge Hardy Barth cPH2 и cPP2 charging stations есть несколько скриптов, доступных через недокументированные жестко заданные учетные данные. Эти скрипты предоставляют доступ к дополнительной административной/отладочной функциональности и, вероятно, предназначены для отладки во время разработки, что увеличивает поверхность атаки [1]. Рекомендации по минимизации риска: - Физически защитить все зарядные станции. - Реализовать видеонаблюдение для предотвращения и обнаружения несанкционированного доступа. - Изолировать и сегментировать устройства от другой критической сетевой инфраструктуры. - Строго настроить правила файрвола. - Отключить интерфейсы удаленного доступа, если они не абсолютно необходимы. Источники: - [1] https://r.sec-consult.com/echarge
Продукт содержит жёстко запрограммированные учётные данные, такие как пароль или криптографический ключ.
https://cwe.mitre.org/data/definitions/798.html →Открыть в коллекции CWE →Злоумышленник может пробовать определённые распространённые или стандартные имена пользователей и пароли для получения доступа к системе и выполнения несанкционированных действий. Злоумышленник может применять интеллектуальный перебор с использованием пустых паролей, известных заводских учётных данных, а также словаря распространённых имён пользователей и паролей. Многие продукты поставляются с предустановленными стандартными (и, следовательно, общеизвестными) учётными данными, которые следует удалить перед вводом в производственную эксплуатацию. Забыть удалить эти стандартные учётные данные — распространённая ошибка. Кроме того, пользователи нередко выбирают очень простые (распространённые) пароли (например, «secret» или «password»), что существенно облегчает злоумышленнику задачу по сравнению с использованием полноценного перебора или даже словарной атаки.
https://capec.mitre.org/data/definitions/70.html →Открыть в коллекции CAPEC →Нет описания.
https://capec.mitre.org/data/definitions/191.html →Открыть в коллекции CAPEC →