SK-CERT Bezpečnostné varovanie V20250220-02

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
9.8
Identifikátor
New Rock Technologies Cloud Connected Devices – kritická bezpečnostná zraniteľnosť
Popis
Bezpečnostní výskumníci zverejnili informácie o dvoch zraniteľnostiach v produkte Cloud Connected Devices od spoločnosti New Rock Technologies, z ktorých je jedna označená ako kritická.
Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-0680 spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom injekcie špeciálne upravených príkazov vykonať škodlivý kód, získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme a spôsobiť zneprístupnenie služby.
Zneužitie kritickej bezpečnostnej zraniteľnosti umožňuje útočníkovi prevziať kontrolu nad akýmkoľvek zariadením pripojeným ku cloudu.
Zneužitím druhej bezpečnostnej zraniteľnosti možno získať neoprávnený prístup k citlivým údajom.
Dátum prvého zverejnenia varovania
30.1.2025
CVE
CVE-2025-0680, CVE-2025-0681
IOC
Zasiahnuté systémy
Cloud Connected Devices vo všetkých verziách
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Neoprávnený prístup k citlivým údajom
Odporúčania
Vzhľadom na absenciu záplat pre predmetnú zraniteľnosť odporúčame administrátorom sledovať stránku výrobcu a po vydaní bezpečnostných záplat vykonať aktualizáciu zasiahnutých systémov.
Pre dočasnú mitigáciu odporúčame riadiace jednotky a systémy prevádzkovať úplne oddelené od internetu. Ak je potrebný vzdialený prístup, použite virtuálnu súkromnú sieť (VPN). Administrátorom odporúčame filtrovať sieťovú komunikáciu bezpečnostnými prvkami sieťovej infraštruktúry.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Zdroje
https://www.cisa.gov/news-events/ics-advisories/icsa-25-030-02

« Späť na zoznam