В интерфейсе управления устройством SinoTrack GPS существует уязвимость слабого аутентификации. Имя пользователя для всех устройств — это и…
В интерфейсе управления устройством SinoTrack GPS существует уязвимость слабого аутентификации. Имя пользователя для всех устройств — это идентификатор, напечатанный на приемнике, а пароль по умолчанию известен и одинаков для всех устройств. Это позволяет злоумышленнику получить доступ к профилю устройства без авторизации через общий веб-интерфейс управления. Успешная эксплуатация может позволить атакующему отслеживать местоположение транспортного средства и отключать подачу топлива при поддержке этой функции. Подробности можно найти в источнике 1 [1]. CISA рекомендует пользователям изменить пароль по умолчанию на уникальный и сложный в интерфейсе управления, доступном на https://sinotrack.com/. Скрыть идентификатор устройства, удалив или заменив общедоступные фотографии с видимым идентификатором. Источники: - [1] https://www.cisa.gov/news-events/ics-advisories/icsa-25-160-01 - [2] https://www.sinotrackgps.com/help-center
Продукт использует механизм аутентификации для ограничения доступа конкретными пользователями или удостоверениями, однако этот механизм не доказывает в достаточной мере корректность заявленного удостоверения.
https://cwe.mitre.org/data/definitions/1390.html →Открыть в коллекции CWE →