W urządzeniach Azure-Access BLU-IC2 oraz BLU-IC4 (firmware do wersji 1.19.5 włącznie) automatycznie tworzone są nieudokumentowane konta administracyjne. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla infrastruktury, w której działają te urządzenia.
▸ Pokaż oryginał (EN)
Undocumented administrative accounts were getting created to facilitate access for applications running on board.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.
Oprogramowanie układowe urządzeń BLU-IC2 i BLU-IC4 tworzy ukryte konta administracyjne w celu ułatwienia dostępu aplikacjom działającym na pokładzie urządzenia. Konta te nie są dokumentowane ani ujawniane administratorom systemu, co oznacza, że ich dane uwierzytelniające mogą być znane atakującemu posiadającemu wiedzę o mechanizmie ich tworzenia. Podatność klasyfikowana jest jako CWE-1242 (Included Undocumented Features or Chicken Bits), wskazując na celowo wbudowaną, ale ukrytą funkcjonalność.
Atakujący, który zna dane uwierzytelniające do nieudokumentowanych kont, może uzyskać pełny dostęp administracyjny do urządzenia bez wiedzy właściciela. Może to prowadzić do przejęcia kontroli nad urządzeniem, kompromitacji sieci oraz systemów z nim powiązanych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu wdrożenia aktualizacji zaleca się izolację urządzeń od niezaufanych segmentów sieci oraz monitorowanie nieautoryzowanych prób logowania.
Azure-Access BLU-IC2 z firmware w wersjach do 1.19.5 włącznie; Azure-Access BLU-IC4 z firmware w wersjach do 1.19.5 włącznie.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAzure Access Blu Ic2
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic2 Firmware
OSAzure-Access< 1.20Azure Access Blu Ic4
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic4 Firmware
OSAzure-Access< 1.20
Powiązane podatności
Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4
Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4
Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4
Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4
Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4