CVE-2024-3263: Tím spoločnosti Remediata oznámil Národnému Centru Kybernetickej Bezpečnosti (SK-CERT) prítomnosť kritickej zraniteľnosti v aplikácii YMS VIS Pro 3.3.0.6, ktorú aktívne využíva Štátna veterinárna a potravinová správa (ŠVPS SR).
Zraniteľnosť dlhodobo ohrozovala veľké množstvo citlivých informácií. Naša spoločnosť Remediata zistila, že YMS VIS Pro verzie 3.3.0.6 používa na autentifikáciu užívateľov ľahko predikovateľné prihlasovacie údaje, ktoré pozostávali zo 4 až 6 číselných znakov. Rovnaká kombinácia číselných znakov bola použitá pre užívateľské meno aj heslo.
Aplikácia Štátnej veterinárnej a potravinovej správy YMS VIS Pro
Aplikácia YMS VIS Pro slúži Štátnej veterinárnej a potravinovej správe (ŠVPS SR) a veterinárom na správu a monitorovanie fariem, monitorovanie zdravotného stavu zvierat, stavu liekov, na plánovanie a hodnotenie hygienických kontrol a na prácu s faktúrami za veterinárne úkony.
Kritická zraniteľnosť aplikácie
Spoločnosť Remediata zistila, že YMS VIS Pro verzie 3.3.0.6 používa na autentifikáciu užívateľov ľahko predikovateľné prihlasovacie údaje, ktoré pozostávali zo 4 až 6 číselných znakov. Rovnaká kombinácia číselných znakov bola použitá pre užívateľské meno aj heslo. Vzhľadom na tieto zistenia, bolo potvrdené, že je prihlasovací mechanizmus zraniteľný na triviálne formy brute force útokov (CVE-2024-3263).
Overením tohto zistenia sa podarilo získať prihlasovacie údaje viac ako 2000 aktívnych užívateľov.
Taktiež bolo zistené, že kombinácia číselných znakov je v skutočnosti identifikátor licencie súkromných veterinárnych lekárov (SVL). Čísla licencií SVL je možné získať na verejných portáloch ako aj verejne prístupných dokumentoch Štátnej veterinárnej a potravinovej správy (ŠVPS SR). Takýto vzťah medzi identifikátormi a prihlasovaním do aplikácie výrazne zjednodušuje pokusy o získanie neautorizovaného prístupu.
Možné dôsledky zraniteľnosti aplikácie
Po úspešnom zneužití tejto zraniteľnosti reálnym útočníkom bolo možné získať prístup k citlivým informáciám a prípadne vykonať nasledujúce:
- spravovať jednotlivé farmy a stavy hospodárskych zvierat,
- spravovať stav liekov,
- spravovať výsledky hygienických analýz pre subjekty s ktorými ŠVPS SR pracuje (od lokálnych fariem po známe obchodné reťazce),
- spravovať vírusové ochorenia zvierat a ich geografické rozloženie na území SR,
- spravovať faktúry za veterinárne úkony,
- pristupovať k osobným údajom viac ako 166 tisíc subjektov (hospodárov, farmárov, veterinárov a ďalších), akými sú mená, adresy, telefónne čísla, IBAN, IČO a ďalšie.
Mitigácia kritickej zraniteľnosti aplikácie
Štátna veterinárna a potravinová správa (ŠVPS SR) v spolupráci s dodávateľom úspešne implementovala technické opatrenia ktoré spočívali v zmene hesiel pre aktívnych užívateľov a ďalších úpravách autentifikačného mechanizmu.
Časový sled udalostí
- 2024–02–25 – Oboznámenie Národného Centra Kybernetickej Bezpečnosti (SK-CERT) o prítomnosti zraniteľnosti
- 2024–02–26 – Oboznámenie dodávateľa a prevádzkovateľa SK–CERTom o prítomnosti zraniteľnosti
- 2024–02–27 – Potvrdenie zraniteľnosti prevádzkovateľom
- 2024–04–17 – Potvrdenie nasadenia nápravných opatrení prevádzkovateľom
Podporujeme kybernetickú bezpečnosť štátnych aplikácií
Remediata oznámila prítomnosť zraniteľnosti ktorá priamo ohrozovala veterinárny informačný systém – YMS VIS Pro. Dodávateľ spolu s prevádzkovateľom zraniteľnosť v krátkej dobe po oznámení úspešne odstránil.
V spoločnosti Remediata máme dvojaké poslanie: pomáhať klientom prostredníctvom našich služieb a prispievať k bezpečnejšiemu kybernetickému priestoru neziskovými výskumnými iniciatívami. Uvedomujeme si mimoriadny význam kybernetickej bezpečnosti a veríme, že výsledky našej práce sú toho dôkazom.
Na záver chceme poďakovať Štátnej veterinárnej a potravinovej správe Slovenskej republiky (ŠVPS SR) za rýchle a rozhodné kroky pri riešení zistených problémov. Ďalej vyjadrujeme vďaku SK-CERTu za ich neoceniteľnú úlohu pri komunikácii medzi spoločnosťou Remediata a ŠVPS SR. Teší nás, že sa nám podarilo urobiť kybernetický priestor štátnej správy zase o niečo bezpečnejší.
Pingback: hello world
Pingback: mobic medication over the counter
Pingback: mirtazapine 15 mg tabs
Pingback: zyvox antibiotics
Pingback: fluconazole 150 mg for uti
Pingback: tetracycline teeth
Pingback: dutasteride for hair loss prescription
Pingback: doxycycline hyclate vibramycin
Pingback: doxycycline monohydrate for tooth infection
Pingback: fluconazole
Pingback: cialis tablets
Pingback: dapoxetine 30mg
Pingback: amoxil
Pingback: zitromax antibiotico
Pingback: doxycycline for acne
Pingback: metoprolol succinate xl
Pingback: lasix for dogs cost
Pingback: augmentin 875
Pingback: doxycycline for uti men
Pingback: diflucan generic
Pingback: furosemide 20 mg tablet
Pingback: pantoprazole
Pingback: esomeprazole 20mg tablets
Pingback: fluconazole over the counter canada
Pingback: furosemide 20 mg tablet price
Pingback: clozaril
Pingback: sildenafil while pregnant
Pingback: tadalafil e libido
Pingback: cialis blood thinning
Pingback: sildenafil tablets bp
Pingback: sildenafil 100mg australia
Pingback: is cialis expensive
Pingback: sildenafil company name
Pingback: is tadalafil otc
Pingback: tadalafil vidalista 40mg
Pingback: cialis daily dosage
Pingback: vidalista tadalafil
Pingback: omeprazole walgreens price
Pingback: orlistat capsules benefits
Pingback: revatio drug class
Pingback: dapoxetine online pakistan
Pingback: dutasteride other name
Pingback: finasteride 5mg prescription
Pingback: compounded semaglutide dosage schedule
Pingback: ozempic semaglutide afvallen
Pingback: topamax dosage range
Pingback: wegovy (semaglutid) och mounjaro (tirzepatid)
Pingback: minoxidil costco warehouse
Pingback: propecia indication
Pingback: ozempic lawsuit reddit
Pingback: buy doxycycline for dogs
Pingback: can dogs take doxycycline capsules
Pingback: rash after stopping doxycycline
Pingback: flagyl dosage dogs
Pingback: metronidazole injection brand name
Pingback: sildenafil tablet uses in pediatrics
Pingback: cialis vs viagra
Komentáre sú uzavreté.