Een kritieke kwetsbaarheid, aangeduid als CVE-2025-5023, is ontdekt in de Mitsubishi Electric Corporation’s EcoGuideTAB systemen, inclusief PV-DR004J en PV-DR004JA in alle versies. Deze kwetsbaarheid maakt gebruik van hardgecodeerde inloggegevens en kan leiden tot informatieverlies, sabotage van opgeslagen gegevens, en zelfs een Denial-of-Service (DoS) toestand zonder dat er gebruikerinteractie vereist is.
Hoewel de producten in 2015 al gestopt zijn met productie en de ondersteuning eindigde in 2020, blijft de kwetsbaarheid relevant voor systemen die nog in gebruik zijn en zich binnen Wi-Fi bereik bevinden. Gebruikers die nog gebruik maken van deze systemen worden gewaarschuwd voor het risico op ongeautoriseerde toegang tot gegevens over opgewekte stroom en teruglevering aan het net.
Overzicht
- CWE-798: Gebruik van hardgecodeerde inloggegevens.
- CVSS-score: 7.1, hoge ernst.
- Impact: Ongeautoriseerde toegang, gegevensmanipulatie en DoS-aanvallen.
Aanbevelingen
Overweeg om het systeem uit te schakelen of zodanig te configureren dat het onbruikbaar is voor aanvallers. Als het systeem ongebruikt is en in de power-saving modus gaat, wordt de kwetsbaarheid tijdelijk niet geëxploiteerd. Echter, gebruikers worden aangespoord een modern en ondersteund alternatief te overwegen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-5023?
CVE-2025-5023 duidt een kwetsbaarheid aan die gebruik maakt van hardgecodeerde inloggegevens in Mitsubishi’s EcoGuideTAB systemen.
Welke systemen zijn kwetsbaar voor CVE-2025-5023?
Mitsubishi’s EcoGuideTAB monitors, modellen PV-DR004J en PV-DR004JA in alle versies, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is geen update of patch beschikbaar omdat de ondersteuning van deze producten in 2020 is beëindigd.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan binnen Wi-Fi bereik toegang krijgen tot vertrouwelijke gegevens, deze manipuleren of een DoS-aanval uitvoeren zonder enige interactie met de gebruiker.
