Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05799

Опубликовано: 24 июл. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость программной платформы удаленного управления конечными точками, резервного копирования и виртуализации Acronis Cyber Infrastructure (ACI) связана с использованием предустановленных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Acronis International GmbH

Наименование ПО

Acronis Cyber Infrastructure

Версия ПО

до 5.0.1-61 (Acronis Cyber Infrastructure)
от 5.1.1 до 5.1.1-71 (Acronis Cyber Infrastructure)
от 5.2.1 до 5.2.1-69 (Acronis Cyber Infrastructure)
от 5.3.1 до 5.3.1-53 (Acronis Cyber Infrastructure)
от 5.4.4 до 5.4.4-132 (Acronis Cyber Infrastructure)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- изменение всех паролей по умолчанию на надёжные (в соответствии с принятой Парольной политикой в организации);
- минимизация пользовательских привилегий;
- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа.
Использование рекомендаций:
https://security-advisory.acronis.com/advisories/SEC-6452

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.93342
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-45249

CVSS3: 9.8
nvd
больше 1 года назад

Remote command execution due to use of default passwords. The following products are affected: Acronis Cyber Infrastructure (ACI) before build 5.0.1-61, Acronis Cyber Infrastructure (ACI) before build 5.1.1-71, Acronis Cyber Infrastructure (ACI) before build 5.2.1-69, Acronis Cyber Infrastructure (ACI) before build 5.3.1-53, Acronis Cyber Infrastructure (ACI) before build 5.4.4-132.

github логотип

GHSA-rjfq-p48j-h96h

CVSS3: 9.8
github
больше 1 года назад

Remote command execution due to use of default passwords. The following products are affected: Acronis Cyber Infrastructure (ACI) before build 5.0.1-61, Acronis Cyber Infrastructure (ACI) before build 5.1.1-71, Acronis Cyber Infrastructure (ACI) before build 5.2.1-69, Acronis Cyber Infrastructure (ACI) before build 5.3.1-53, Acronis Cyber Infrastructure (ACI) before build 5.4.4-132.

EPSS

Процентиль: 100%
0.93342
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2