CWE - CWE - 1393:使用默认密码(4.12)

弱点ID: 1393

抽象:基地
结构:简单的

视图定制的信息:

的用户感兴趣的更多的概念方面的一个弱点。例如:教育者,技术作家和项目/项目经理。用户关心的实际应用和细节的本质弱点以及如何预防它的发生。例子:工具开发人员、安全人员、pen-testers事件反应分析师。对于用户映射一个问题CWE / CAPEC id,即。,找到最合适的CWE为一个特定的问题(例如,CVE记录)。例如:工具开发人员、安全人员。用户希望看到所有可用的信息CWE / CAPEC条目。为用户谁想要定制显示细节。

描述

产品使用默认密码可能至关重要的功能。

扩展描述

通常的做法是,产品设计使用默认密码进行身份验证。基本原理是简化生产过程或系统管理员安装和部署到企业的任务。然而,如果管理员不改变默认值,那么它使攻击者更容易迅速绕过身份验证跨多个组织。有许多列表默认密码和默认密码扫描工具,很容易可以从万维网。

的关系

此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。

相关的视图”研究概念”(cwe - 1000)

自然	类型	ID	的名字
ChildOf	Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。	1392年	使用默认凭证

模式的介绍

不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。

阶段	请注意
架构和设计

适用的平台

该清单显示了给定的弱点可以可能的地区出现。这些可能是为特定命名的语言,操作系统,架构、模式、技术、或一个类这样的平台。列出的平台是随着频率的出现疲态实例。

语言

类:不是特定于语言的患病率(待定)

操作系统

类:不使用患病率(待定)

体系结构

类:不是特定于体系结构的患病率(待定)

技术

类:不是特定于技术的患病率(待定)

类:ICS /不患病率(待定)

常见的后果

这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。

范围	影响	可能性
身份验证	技术的影响:获得特权或假设的身份

示范例子

示例1

2022年,OT:冰崩研究调查了10个不同的操作技术(OT)供应商的产品。研究人员报道,56个漏洞,说产品是“不安全的设计”(ref - 1283]。如果这些漏洞利用,往往让对手改变产品运营,从拒绝服务改变产品执行的代码。因为这些产品经常被应用于行业,如电力、电气、水,和其他人,甚至会出现安全问题。

多个产品使用默认凭证。

观察到的例子

参考	描述
cve - 2022 - 30270	远程终端装置(RTU)使用SSH账户默认凭证
cve - 2022 - 2336	OPC统一架构(OPC UA)工业自动化产品有一个默认的密码
cve - 2021 - 38759	单片机板默认密码
cve - 2021 - 44480	儿童智能表默认密码允许攻击者发送短信命令,听设备的环境
cve - 2020 - 11624	监控摄像头已默认的管理员账户密码
cve - 2018 - 15719	医学牙科记录产品安装MySQL数据库和一个空白的默认密码
cve - 2014 - 9736	医疗系统归档病人图像默认密码密钥管理和存储的数据库
cve - 2000 - 1209	数据库产品安装默认空管理员帐号和密码,允许特权,利用各种蠕虫

潜在的缓解措施

阶段:需求

禁止使用的默认、硬编码或其他值不变化为每个安装的产品,特别是独立的组织。

有效性:高

阶段:文档

确保产品文档清楚地强调的默认密码,为管理员提供了步骤,改变他们。

有效性:有限

阶段:体系结构和设计

管理员修改凭证强加于安装。

有效性:高

阶段:安装;操作

产品管理员可以改变默认设置安装或在操作期间。

有效性:温和

会员资格

这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。

自然	类型	ID	的名字
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	1364年	ICS通讯:区域边界的失败
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	1366年	ICS通讯:脆弱的安全协议
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	1368年	ICS依赖性(&架构):外部数字系统
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	1376年	集成电路工程(建筑/部署):在调试安全缺口
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	1396年	综合分类:访问控制

脆弱性映射笔记

用法:允许

(CWE ID可以用来映射到现实世界的漏洞)

原因:可接受的使用

理由是:

这CWE条目底部的抽象级别,这是一个首选的抽象级别映射到漏洞的根本原因。

评论:

仔细阅读这两个名称和描述,以确保此映射是一个适当的配合。不要试图“力”映射到底层基础/变体只是遵守这首选的抽象级别。

引用

[ref - 1283] Forescout Vedere实验室。“OT:冰崩:遗留的“不安全的通过设计“认证和风险管理及其影响”。2022-06-20。<https://www.forescout.com/resources/ot-icefall-report/>。

(ref - 1303)凯利杰克逊希金斯。“研究人员默认密码封装在ICS / SCADA的商品”。2016-01-04。<https://www.darkreading.com/endpoint/researchers-out-default-passwords-packaged-with-ics-scada-wares>。URL验证:2022-10-11。

内容的历史

提交
提交日期	提交者	组织
2022-10-07 (CWE 4.9, 2022-10-13)	CWE内容团队	主教法冠
2022-10-07 (CWE 4.9, 2022-10-13)
修改
修改日期	修饰符	组织
2023-01-31	CWE内容团队	主教法冠
2023-01-31	更新Applicable_Platforms、Demonstrative_Examples Observed_Examples、引用关系
2023-04-27	CWE内容团队	主教法冠
2023-04-27	更新的关系
2023-06-29	CWE内容团队	主教法冠
2023-06-29	更新Mapping_Notes、人际关系

常见的弱点枚举

cwe - 1393:使用默认密码


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用常见的弱点枚举(CWE)和相关的引用从这个网站的使用条款。CWE赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2006 - 2023,斜方公司。manbetx客户端首页CWE、水煤浆、CWRAF, CWE标志是斜方公司的商标。manbetx客户端首页

常见的弱点枚举

cwe - 1393:使用默认密码

编辑自定义过滤器