Уязвимость чрезмерно ограничительного механизма блокировки учетных записей в Mitsubishi Electric Corporation MELSEC iQ-F Series позволяет у…
Уязвимость чрезмерно ограничительного механизма блокировки учетных записей в Mitsubishi Electric Corporation MELSEC iQ-F Series позволяет удаленному неаутентифицированному злоумышленнику заблокировать легитимных пользователей на определенный период, неоднократно пытаясь войти с неправильными паролями. Легитимные пользователи не смогут войти до тех пор, пока не пройдет определенный период после блокировки или пока продукт не будет сброшен [1][2]. Источники: - [1] https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2025-005_en.pdf - [2] https://www.cisa.gov/news-events/ics-advisories/icsa-25-184-04
Программный продукт содержит механизм защиты от блокировки учётных записей, однако этот механизм слишком ограничителен и легко срабатывает, что позволяет злоумышленникам отказывать в обслуживании легитимным пользователям, провоцируя блокировку их учётных записей.
https://cwe.mitre.org/data/definitions/645.html →Открыть в коллекции CWE →Злоумышленник использует функциональность безопасности системы, направленную на противодействие потенциальным атакам, для проведения атаки отказа в обслуживании против легитимного пользователя системы. Многие системы, в частности, реализуют механизм ограничения попыток ввода пароля, блокирующий учётную запись после определённого количества неудачных попыток входа. Злоумышленник может использовать данный механизм ограничения для блокировки легитимного пользователя из его собственной учётной записи. Слабость, эксплуатируемая злоумышленником, — это именно та функция безопасности, которая была внедрена для противодействия атакам.
https://capec.mitre.org/data/definitions/2.html →Открыть в коллекции CAPEC →