关键漏洞信息 1. 漏洞概述 发布日期: 2025年3月25日 警报代码: ICSA-25-084-04 相关主题: 工业控制系统漏洞、工业控制系统 厂商: Inaba Denki Sangyo Co., Ltd. 设备: CHOCO TEI WATCHER mini 2. 漏洞详情 CVSS v4 评分: 9.3 注意: 可远程利用,低攻击复杂度 2.1 使用客户端身份验证漏洞 (CWE-603) 描述: 攻击者可以获取产品的登录密码,无需认证。 CVSS v3 基本分数: 7.5 CVSS v4 基本分数: 8.7 2.2 以可恢复格式存储密码 (CWE-257) 描述: 攻击者可以通过访问产品使用的microSD卡来获取产品的登录密码。 CVSS v3 基本分数: 4.6 CVSS v4 基本分数: 5.1 2.3 弱密码要求 (CWE-521) 描述: 攻击者可以通过暴力破解攻击导致未经授权的访问和登录。 CVSS v3 基本分数: 9.8 CVSS v4 基本分数: 9.3 2.4 直接请求(“强制浏览”)(CWE-425) 描述: 远程攻击者发送特制HTTP请求,可能导致数据被删除或更改,设置可能被修改。 CVSS v3 基本分数: 9.8 CVSS v4 基本分数: 9.3 3. 影响的产品 CHOCO TEI WATCHER mini (IB-MCT001): 所有版本 4. 背景 关键基础设施部门: 关键制造业 部署国家/地区: 全球 公司总部所在地: 日本 5. 研究员 Andrea Palanca of Nozomi Networks 报告了这些漏洞给Inaba Denki Sangyo Co., Ltd.和CISA。 6. 缓解措施 使用产品在局域网内并阻止来自不受信任网络和端口的访问。 使用防火墙或虚拟专用网络(VPN)等,防止未经授权的访问。 限制产品操作仅限授权用户。 采取防御性措施最小化利用风险。