CRITICAL✓ PATCH🇬🇧 English

CVE-2024-45764

Dell Enterprise SONiC OS — pominięcie krytycznego kroku uwierzytelnienia

CVSS 9.0v3.1pub. 2024-11-08upd. 2024-11-13

Dell Enterprise SONiC OS w wersjach 4.1.x oraz 4.2.x zawiera podatność polegającą na pominięciu krytycznego kroku w procesie uwierzytelnienia (CWE-304). Nieuwierzytelniony atakujący z dostępem sieciowym może ominąć mechanizmy ochronne systemu bez podawania jakichkolwiek danych uwierzytelniających.

Pokaż oryginał (EN)

Dell Enterprise SONiC OS, version(s) 4.1.x, 4.2.x, contain(s) a Missing Critical Step in Authentication vulnerability. An unauthenticated attacker with remote access could potentially exploit this vulnerability, leading to Protection mechanism bypass. This is a critical severity vulnerability so Dell recommends customers to upgrade at the earliest opportunity.

🤖 Analiza AI
Jak działa

Podatność wynika z błędu w implementacji procesu uwierzytelnienia — brakuje w nim krytycznego kroku, który powinien weryfikować tożsamość użytkownika przed przyznaniem dostępu. Atakujący zdalnie, bez posiadania konta ani hasła, może w pewnych okolicznościach (wysoka złożoność ataku) obejść mechanizmy ochronne systemu operacyjnego SONiC. Skuteczne wykorzystanie podatności prowadzi do naruszenia granic bezpieczeństwa (scope changed), co wskazuje na możliwość oddziaływania poza bezpośredni komponent.

Skutki

Atakujący może ominąć mechanizmy uwierzytelnienia i ochrony systemu, co według wektora CVSS skutkuje pełną utratą poufności, integralności oraz dostępności atakowanego systemu. W praktyce oznacza to możliwość przejęcia kontroli nad urządzeniem sieciowym klasy enterprise.

Mitygacja

Dell zaleca jak najszybszą aktualizację systemu do wersji niezawierającej podatności. Szczegółowe informacje o dostępnych patchach oraz wersjach naprawionych znajdują się w biuletynie bezpieczeństwa DSA-2024-449 dostępnym pod adresem: https://www.dell.com/support/kbdoc/en-us/000245655/dsa-2024-449-security-update-for-dell-enterprise-sonic-distribution-vulnerabilities

Kogo dotyczy

Dell Enterprise SONiC OS w wersjach 4.1.x oraz 4.2.x

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Dell Enterprise Sonic Distribution

    OS
    Dell
    4.1.0 – 4.1.6 (bez)4.2.0 – 4.2.2 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-45763CRITICAL9.1PL ✓ten sam produkt

OS Command Injection w Dell Enterprise SONiC OS 4.1.x i 4.2.x

CVE-2024-45765CRITICAL9.1PL ✓ten sam produkt

OS Command Injection w Dell Enterprise SONiC OS (wersje 4.1.x, 4.2.x)

CVE-2023-32484CRITICAL9.8PL ✓ten sam produkt

Podatność improper input validation w Dell Enterprise SONiC — eskalacja uprawnień

CVE-2025-23374HIGH8.0ten sam produkt

Dell Networking Switches running Enterprise SONiC OS, version(s) prior to 4.4.1 and 4.2.3, contain(s) an Inser...

CVE-2023-24574HIGH7.5ten sam produkt

Dell Enterprise SONiC OS, 3.5.3, 4.0.0, 4.0.1, 4.0.2, contains an "Uncontrolled Resource Consumption vulnerab...