CRITICAL✓ PATCH🇬🇧 English

CVE-2023-41920

Automatyczne logowanie root bez uwierzytelnienia przy adresie IP 10.10.10.10

CVSS 9.8v3.1pub. 2024-07-02upd. 2026-04-15

Podatność umożliwia atakującemu uzyskanie dostępu do konta root bez konieczności uwierzytelnienia. Jest szczególnie niebezpieczna, ponieważ wystarczy, że urządzenie jest skonfigurowane z adresem IP 10.10.10.10, aby doszło do automatycznego zalogowania na konto administratora.

Pokaż oryginał (EN)

The vulnerability allows attackers access to the root account without having to authenticate. Specifically, if the device is configured with the IP address of 10.10.10.10, the root user is automatically logged in.

🤖 Analiza AI
Jak działa

Mechanizm podatności polega na błędzie w logice uwierzytelnienia (CWE-305 — Authentication Bypass by Primary Weakness). Gdy urządzenie posiada skonfigurowany adres IP 10.10.10.10, system automatycznie loguje użytkownika na konto root, pomijając wszelkie procedury weryfikacji tożsamości. Atakujący, który ma dostęp sieciowy do urządzenia skonfigurowanego w ten sposób, uzyskuje pełne uprawnienia administracyjne bez podawania jakichkolwiek danych uwierzytelniających.

Skutki

Atakujący uzyskuje pełny, nieautoryzowany dostęp do konta root, co umożliwia mu całkowite przejęcie kontroli nad urządzeniem, modyfikację konfiguracji, kradzież danych oraz dalsze działania w sieci (lateral movement).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (NCSC-2024-0273). Do czasu wdrożenia poprawki zaleca się unikanie konfigurowania urządzeń z adresem IP 10.10.10.10 oraz ograniczenie dostępu sieciowego do podatnych urządzeń za pomocą firewall lub segmentacji sieci.

Kogo dotyczy

Urządzenia skonfigurowane z adresem IP 10.10.10.10 — konkretne produkty i wersje wskazane w referencjach producenta (advisory NCSC-2024-0273)

Uwagi

Advisory opublikowane przez holenderskie centrum cyberbezpieczeństwa NCSC (NCSC-2024-0273). Szczegółowe informacje o dotkniętych produktach dostępne wyłącznie w referencjach producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje