CRITICAL🇬🇧 English

CVE-2024-50357

FutureNet NXR: nieoczekiwane włączenie REST-API z domyślnymi danymi logowania

CVSS 9.8v3.0pub. 2024-11-29upd. 2026-04-15

Routery FutureNet NXR firmy Century Systems Co., Ltd. nieprawidłowo aktywują REST-API pomimo jego wyłączenia w konfiguracji fabrycznej, gdy włączony jest serwer HTTP (GUI) lub uwierzytelnianie Web. Ponieważ konfiguracja fabryczna domyślnie włącza serwer HTTP, REST-API staje się dostępne z fabrycznymi, powszechnie znanymi danymi logowania, co naraża urządzenie na nieautoryzowany dostęp z sieci.

Pokaż oryginał (EN)

FutureNet NXR series routers provided by Century Systems Co., Ltd. have REST-APIs, which are configured as disabled in the initial (factory default) configuration. But, REST-APIs are unexpectedly enabled when the affected product is powered up, provided either http-server (GUI) or Web authentication is enabled. The factory default configuration makes http-server (GUI) enabled, which means REST-APIs are also enabled. The username and the password for REST-APIs are configured in the factory default configuration. As a result, an attacker may obtain and/or alter the affected product's settings via REST-APIs.

🤖 Analiza AI
Jak działa

W konfiguracji fabrycznej REST-API jest oznaczone jako wyłączone, jednak po uruchomieniu urządzenia z aktywnym serwerem HTTP (GUI) lub funkcją Web authentication REST-API zostaje nieoczekiwanie włączone. Konfiguracja fabryczna domyślnie uruchamia serwer HTTP, co powoduje, że opisany problem dotyczy praktycznie każdego urządzenia ze standardowymi ustawieniami. Dane uwierzytelniające do REST-API (nazwa użytkownika i hasło) są z góry skonfigurowane w ustawieniach fabrycznych, a zatem identyczne dla wszystkich urządzeń dostarczanych przez producenta. Atakujący zdalnie, bez żadnego uwierzytelnienia (korzystając z domyślnych poświadczeń), może wysyłać żądania do REST-API przez sieć.

Skutki

Atakujący może zdalnie odczytać oraz zmodyfikować konfigurację urządzenia za pośrednictwem REST-API, co może skutkować przejęciem pełnej kontroli nad routerem, zmianą ustawień sieciowych, przekierowaniem ruchu lub trwałą utratą integralności urządzenia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.centurysys.co.jp/backnumber/nxr_common/20241031-01.html). Do czasu aktualizacji zaleca się wyłączenie serwera HTTP (GUI) oraz funkcji Web authentication, jeśli nie są niezbędne, a także ograniczenie dostępu do interfejsu zarządzania urządzeniem na poziomie firewalla lub segmentacji sieci.

Kogo dotyczy

Routery z serii FutureNet NXR firmy Century Systems Co., Ltd.; szczegółowe wersje firmware i modeli wskazane w referencjach producenta

Uwagi

Podatność ma charakter błędu projektowego (CWE-684 — nieprawidłowa implementacja interfejsu): REST-API ignoruje ustawienie 'disabled' w konfiguracji fabrycznej, gdy spełniony jest określony warunek uruchomienia serwera HTTP. Doradztwo bezpieczeństwa producenta zostało opublikowane 31 października 2024 r. zgodnie z informacją zawartą w adresie URL referencji.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2024-50357 — FutureNet NXR: nieoczekiwane włączenie REST-API z domyślnymi danymi logowania — CRITICAL 9.8 | CVEbaza.pl