Krytyczna luka uwierzytelniania w Nefteprodukttekhnika BUK TS-G Gas Station Automation System
Krytyczna luka uwierzytelniania w Nefteprodukttekhnika BUK TS-G umożliwia zdalny dostęp administratora bez logowania. Zalecane szybkie działania zabezpieczające.
- CVSS
- 9.3 CRITICAL
- EPSS
- 41.88%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
System automatyzacji stacji paliw Nefteprodukttekhnika BUK TS-G w wersjach 2.9.1 do 2.10.2 na Linuksie posiada krytyczną lukę uwierzytelniania, która pozwala zdalnemu atakującemu na wykonanie dowolnych działań administracyjnych bez konieczności logowania. Luka dotyczy niewłaściwej weryfikacji sesji i zwracania identyfikatora administratora na każde żądanie POST.
Wpływ biznesowy
Eksploatacja tej luki umożliwia atakującemu pełną kontrolę nad systemem automatyzacji stacji paliw, w tym modyfikację ustawień użytkowników, urządzeń pomiarowych, terminali płatniczych oraz reguł cenowych. Może to prowadzić do poważnych zakłóceń operacyjnych, strat finansowych oraz naruszenia integralności i dostępności systemu.
Rekomendowane działania administratora
Administratorzy powinni niezwłocznie zweryfikować dostępność aktualizacji lub poprawek od producenta oraz ograniczyć ekspozycję systemu na zewnętrzne sieci. Zaleca się monitorowanie logów pod kątem nietypowych działań oraz priorytetowe wdrożenie środków zabezpieczających, takich jak segmentacja sieci i kontrola dostępu.