CRITICAL🇬🇧 English

CVE-2024-9643

Auth Bypass przez zakodowane dane logowania w routerze Four-Faith F3x36

CVSS 9.8v3.1pub. 2025-02-04upd. 2025-09-19

Router Four-Faith F3x36 z oprogramowaniem v2.0.0 zawiera zakodowane na stałe dane uwierzytelniające w administracyjnym serwerze WWW, co umożliwia nieautoryzowanym osobom przejęcie pełnej kontroli administracyjnej. Podatność jest krytyczna, ponieważ nie wymaga żadnej interakcji użytkownika ani wcześniejszych uprawnień i jest dostępna zdalnie przez sieć.

Pokaż oryginał (EN)

The Four-Faith F3x36 router using firmware v2.0.0 is vulnerable to authentication bypass due to hard-coded credentials in the administrative web server. An attacker with knowledge of the credentials can gain administrative access via crafted HTTP requests. This issue appears similar to CVE-2023-32645.

🤖 Analiza AI
Jak działa

W firmware routera zakodowane są na stałe dane logowania (hard-coded credentials), które nie mogą zostać zmienione przez użytkownika w standardowy sposób. Atakujący, który uzyska wiedzę o tych danych uwierzytelniających, może wysłać odpowiednio spreparowane żądania HTTP do panelu administracyjnego urządzenia. Mechanizm uwierzytelniania zostaje w ten sposób ominięty (auth bypass), a atakujący uzyskuje pełny dostęp administracyjny do urządzenia. Podatność jest zbliżona do wcześniej udokumentowanej podatności CVE-2023-32645.

Skutki

Atakujący uzyskuje pełny dostęp administracyjny do routera, co umożliwia mu zmianę konfiguracji urządzenia, przechwytywanie ruchu sieciowego, modyfikację ustawień sieciowych oraz potencjalne wykorzystanie urządzenia jako punktu wejścia do dalszego lateral movement w sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środki zaradcze do czasu wdrożenia łatki zaleca się ograniczenie dostępu do panelu administracyjnego urządzenia wyłącznie do zaufanych adresów IP oraz odizolowanie urządzenia od publicznego dostępu przez firewall lub VPN.

Kogo dotyczy

Router Four-Faith F3x36 z oprogramowaniem firmware w wersji v2.0.0

Uwagi

Podatność została zgłoszona przez Cisco Talos (raport TALOS-2023-1752) i jest opisana jako zbliżona do CVE-2023-32645, dotyczącej podobnego problemu w produktach Four-Faith.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Four Faith F3x36

    HW
    Four-Faith
    wszystkie wersje
  • Four Faith F3x36 Firmware

    OS
    Four-Faith
    2.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-9644CRITICAL9.8PL ✓ten sam produkt

Auth Bypass w routerze Four-Faith F3x36 – pominięcie uwierzytelnienia

CVE-2024-12856HIGH7.2ten sam produkt

The Four-Faith router models F3x24 and F3x36 are affected by an operating system (OS) command injection vulner...

CVE-2023-3805HIGH7.3ten sam vendor

A vulnerability, which was classified as critical, has been found in Xiamen Four Letter Video Surveillance Man...

CVE-2019-12168HIGH7.2ten sam vendor

Four-Faith Wireless Mobile Router F3x24 v1.0 devices allow remote code execution via the Command Shell (aka Ad...

CVE-2025-11018MEDIUM5.5ten sam vendor

A flaw has been found in Four-Faith Water Conservancy Informatization Platform 1.0. This affects an unknown fu...