Было идентифицировано несколько жестко закодированных учетных данных, которые позволяют войти на сервер точек данных exos 9300, работающий через порты 1004 и 1005. Этот сервер используется для передачи информации о состоянии от и к диспетчерам доступа. Эта информация, помимо прочего, используется для графической визуализации открытых дверей и оповещений. Однако управление менеджерами доступа через этот интерфейс также возможно. Для отправки и получения информации о состоянии необходима аутентификация. Приложение Kaba exos 9300 содержит жестко запрограммированные учетные данные для четырех разных пользователей, которым разрешено входить на сервер точек данных и получать, а также отправлять информацию, включая команды для открытия произвольных дверей.
Показать оригинальное описание (английский)
Multiple hardcoded credentials have been identified, which are allowed to sign-in to the exos 9300 datapoint server running on port 1004 and 1005. This server is used for relaying status information from and to the Access Managers. This information, among other things, is used to graphically visualize open doors and alerts. However, controlling the Access Managers via this interface is also possible. To send and receive status information, authentication is necessary. The Kaba exos 9300 application contains hard-coded credentials for four different users, which are allowed to login to the datapoint server and receive as well as send information, including commands to open arbitrary doors.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X