← voltar
CVE-2024-54092

CVE-2024-54092

CVSS 9.3 CRITICALEPSS 0.7%CWE-1390
Em resumo

Dispositivos Industrial Edge não verificam corretamente a identidade do usuário em certos endpoints de API quando usa federação de identidade, permitindo que atacantes ignorem autenticação e se passem por usuários legítimos sem credenciais válidas.

Detalhe técnico

CWE-1390 (Falha na Aplicação de Autenticação) em Industrial Edge Device Kit e produtos relacionados: endpoints de API não autenticados deixam de validar credenciais de usuário quando federação de identidade está ativa, permitindo que atacantes remotos ignorem mecanismos de autenticação e usurpem identidade de usuários autorizados. Vetor de ataque é pela rede sem necessidade de interação do usuário.

Resumo gerado e traduzido por IA a partir da descrição oficial.
A vulnerability has been identified in Industrial Edge Device Kit - arm64 V1.17 (All versions), Industrial Edge Device Kit - arm64 V1.18 (All versions), Industrial Edge Device Kit - arm64 V1.19 (All versions), Industrial Edge Device Kit - arm64 V1.20 (All versions < V1.20.2-1), Industrial Edge Device Kit - arm64 V1.21 (All versions < V1.21.1-1), Industrial Edge Device Kit - x86-64 V1.17 (All versions), Industrial Edge Device Kit - x86-64 V1.18 (All versions), Industrial Edge Device Kit - x86-64 V1.19 (All versions), Industrial Edge Device Kit - x86-64 V1.20 (All versions < V1.20.2-1), Industrial Edge Device Kit - x86-64 V1.21 (All versions < V1.21.1-1), Industrial Edge Own Device (IEOD) (All versions < V1.21.1-1-a), Industrial Edge Virtual Device (All versions < V1.21.1-1-a), SCALANCE LPE9413 (6GK5998-3GS01-2AC2) (All versions < V2.1), SIMATIC IPC BX-39A Industrial Edge Device (All versions < V3.0), SIMATIC IPC BX-59A Industrial Edge Device (All versions < V3.0), SIMATIC IPC127E Industrial Edge Device (All versions < V3.0), SIMATIC IPC227E Industrial Edge Device (All versions < V3.0), SIMATIC IPC427E Industrial Edge Device (All versions < V3.0), SIMATIC IPC847E Industrial Edge Device (All versions < V3.0). Affected devices do not properly enforce user authentication on specific API endpoints when identity federation is used. This could facilitate an unauthenticated remote attacker to circumvent authentication and impersonate a legitimate user. Successful exploitation requires that identity federation is currently or has previously been used and the attacker has learned the identity of a legitimate user.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
Siemens · Industrial Edge Device Kit - arm64 V1.17Siemens · Industrial Edge Device Kit - arm64 V1.18Siemens · Industrial Edge Device Kit - arm64 V1.19Siemens · Industrial Edge Device Kit - arm64 V1.20Siemens · Industrial Edge Device Kit - arm64 V1.21Siemens · Industrial Edge Device Kit - x86-64 V1.17Siemens · Industrial Edge Device Kit - x86-64 V1.18Siemens · Industrial Edge Device Kit - x86-64 V1.19Siemens · Industrial Edge Device Kit - x86-64 V1.20Siemens · Industrial Edge Device Kit - x86-64 V1.21Siemens · Industrial Edge Own Device (IEOD)Siemens · Industrial Edge Virtual DeviceSiemens · SCALANCE LPE9413Siemens · SIMATIC IPC127E Industrial Edge DeviceSiemens · SIMATIC IPC227E Industrial Edge DeviceSiemens · SIMATIC IPC427E Industrial Edge DeviceSiemens · SIMATIC IPC847E Industrial Edge DeviceSiemens · SIMATIC IPC BX-39A Industrial Edge DeviceSiemens · SIMATIC IPC BX-59A Industrial Edge Device

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://cert-portal.siemens.com/productcert/html/ssa-634640.htmlhttps://cert-portal.siemens.com/productcert/html/ssa-819629.html