کشف آسیب‌پذیری بحرانی در برخی از محصولات شرکت Delta Electronics

کشف آسیب‌پذیری بحرانی در برخی از محصولات شرکت Delta Electronics

تاریخ ایجاد

شرکت دلتا الکترونیکس (Delta Electronics) یکی از بزرگترین و پیشروترین شرکت‌ها در زمینه فناوری برق، انرژی، اتوماسیون صنعتی و الکترونیک می‌باشد که به تازگی یک آسیب‌پذیری بحرانی (9.8) با شناسه‌ CVE-2024-3871 در دستگاه‌های DVW-W02W2-E2 این شرکت کشف شده است. این دستگاه‌ها، یک رابط کاربری مدیریت وب را برای کاربران فعال می‌کنند. رابط کاربری مذکور، با ویژگی‌های چندگانه پیاده‌سازی شده است که تحت تأثیر آسیب‌پذیری‌های تزریق کد مخرب و سرریز پشته قرار دارند. بهره‌برداری موفق از این این نقص امنیتی به مهاجم احراز هویت نشده امکان اجرای کد را بر روی دستگاه‌های تحت تأثیر می‌دهد.
بر اساس بردار حمله این آسیب‌پذیری (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) بهره‌برداری از آن از طریق شبکه خارجی امکان‌پذیر نیست. مهاجم باید از راه دور (از طریق پروتکلی مانند SSH یا RDP) به سیستم دسترسی داشته باشد، یا نیاز به استفاده از مهندسی اجتماعی یا تکنیک‌های دیگر جهت فریب کاربر ناآگاه برای کمک به شروع بهره‌برداری دارد. (AV:N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:U) و هر سه ضلع  امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند.


محصولات تحت تأثیر
تمام نسخه‌های قبل از‌ 2.5.2 محصول DVW-W02W2-E2 در برابر نقص‌های امنیتی مذکور، آسیب‌پذیر هستند.

 توصیه‌های امنیتی
هیچ اطلاعاتی درباره تدابیر دفاعی ممکن موجود نیست و به کاربران توصیه می‌شود در صورت امکان، از محصولات جایگزین استفاده کنند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-3871