Katalog CVE

CVE-2026-24060

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Informacje serwisowe nie są szyfrowane podczas transmisji jako pakiety BACnet, co umożliwia ich podsłuchiwanie, przechwytywanie i modyfikowanie przez atakującego. Cenne dane, takie jak Pozycja Początkowa Pliku i Dane Pliku, mogą być przechwycone z ruchu sieciowego przy użyciu filtra disektora BACnet w Wireshark.

Ocena ryzyka

Brak szyfrowania informacji serwisowych stwarza ryzyko ujawnienia wrażliwych danych, co może prowadzić do nieautoryzowanego dostępu i manipulacji systemem. Atakujący może wykorzystać te informacje do przeprowadzenia dalszych ataków na infrastrukturę.

Rekomendacja

Zaleca się wdrożenie szyfrowania dla transmisji danych BACnet, aby zabezpieczyć informacje przed podsłuchiwaniem i modyfikacją. Należy również przeanalizować i zaktualizować protokoły komunikacyjne używane przez systemy, aby zwiększyć ich bezpieczeństwo.

Oryginalny opis (angielski, źródło NVD)

Service information is not encrypted when transmitted as BACnet packets over the wire, and can be sniffed, intercepted, and modified by an attacker. Valuable information such as the File Start Position and File Data can be sniffed from network traffic using Wireshark's BACnet dissector filter. The proprietary format used by WebCTRL to receive updates from the PLC can also be sniffed and reverse engineered.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS