CRITICAL✓ PATCH🇬🇧 English

CVE-2023-24052

Connectize AC21000 G6 — przejęcie kontroli przez zmianę hasła bez weryfikacji

CVSS 9.8v3.1pub. 2023-12-04upd. 2024-11-21

Podatność w routerze Connectize AC21000 G6 pozwala atakującemu przejąć kontrolę nad urządzeniem poprzez funkcję zmiany hasła, która nie wymaga podania aktualnego hasła. Brak tej weryfikacji umożliwia nieuwierzytelnionej lub nieuprawnionej osobie dowolną zmianę hasła administracyjnego.

Pokaż oryginał (EN)

An issue discovered in Connectize AC21000 G6 641.139.1.1256 allows attackers to gain control of the device via the change password functionality as it does not prompt for the current password.

🤖 Analiza AI
Jak działa

Funkcja zmiany hasła w oprogramowaniu układowym Connectize AC21000 G6 w wersji 641.139.1.1256 nie weryfikuje tożsamości użytkownika poprzez żądanie podania aktualnego hasła przed jego zmianą. Atakujący może wysłać żądanie zmiany hasła bez znajomości obecnego hasła administracyjnego, co skutkuje przejęciem pełnej kontroli nad urządzeniem. Podatność jest klasyfikowana jako nieprawidłowa autoryzacja (CWE-863), ponieważ system nie egzekwuje właściwej kontroli dostępu do krytycznej operacji.

Skutki

Atakujący może przejąć pełną kontrolę administracyjną nad routerem, zmieniając hasło dostępu bez znajomości aktualnych danych uwierzytelniających. Następstwem może być utrata dostępu przez prawowitego administratora, modyfikacja konfiguracji sieci oraz potencjalne narażenie całej infrastruktury sieciowej obsługiwanej przez urządzenie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do panelu administracyjnego urządzenia wyłącznie do zaufanych adresów IP oraz izolację interfejsu zarządzania od sieci publicznej.

Kogo dotyczy

Connectize AC21000 G6 z oprogramowaniem układowym w wersji 641.139.1.1256

Uwagi

Podatność została ujawniona przez NCC Group w ramach technicznego doradztwa opublikowanego 19 października 2023 roku, obejmującego wiele podatności w routerze Connectize G6 AC2100 (CVE-2023-24046 do CVE-2023-24052).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Connectize Ac21000 G6

    HW
    Connectize
    wszystkie wersje
  • Connectize Ac21000 G6 Firmware

    OS
    Connectize
    641.139.1.1256
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2023-24049CRITICAL9.8PL ✓ten sam produkt

Privilege escalation w routerze Connectize AC21000 G6 — słabe zarządzanie poświadczeniami

CVE-2023-24051CRITICAL9.8PL ✓ten sam produkt

Brak ograniczenia liczby prób po stronie klienta w Connectize AC21000 G6

CVE-2023-24048HIGH8.8ten sam produkt

Cross Site Request Forgery (CSRF) vulnerability in Connectize AC21000 G6 641.139.1.1256 allows attackers to ga...

CVE-2023-24046MEDIUM6.8ten sam produkt

An issue was discovered on Connectize AC21000 G6 641.139.1.1256 allows attackers to run arbitrary commands via...

CVE-2023-24047MEDIUM6.8ten sam produkt

An Insecure Credential Management issue discovered in Connectize AC21000 G6 641.139.1.1256 allows attackers to...