Urządzenia Azure-Access BLU-IC2 i BLU-IC4 posiadają słabe domyślne dane uwierzytelniające (CWE-1392), co umożliwia nieautoryzowany dostęp bez konieczności posiadania jakichkolwiek uprawnień. Podatność otrzymała maksymalny wynik CVSS 10.0, co klasyfikuje ją jako krytyczną.
▸ Pokaż oryginał (EN)
Weak Default Credentials.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.
Podatność polega na tym, że oprogramowanie sprzętowe (firmware) urządzeń BLU-IC2 i BLU-IC4 zawiera słabe domyślne dane uwierzytelniające, które prawdopodobnie nie są wymuszane do zmiany przez użytkownika podczas konfiguracji. Atakujący zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, może wykorzystać te znane lub łatwe do odgadnięcia dane logowania, aby uzyskać dostęp do urządzenia. Wektor ataku sieciowego (AV:N) w połączeniu z brakiem wymaganych uprawnień (PR:N) i interakcji (UI:N) sprawia, że atak jest prosty do przeprowadzenia na dużą skalę.
Atakujący może uzyskać pełną kontrolę nad urządzeniem, co skutkuje kompromitacją poufności, integralności i dostępności zarówno samego systemu, jak i powiązanych zasobów sieciowych (SC:H/SI:H/SA:H). Może to prowadzić do nieuprawnionego dostępu do infrastruktury kontroli dostępu fizycznego, modyfikacji jej konfiguracji lub wykorzystania urządzeń jako punktu wejścia do sieci wewnętrznej.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://azure-access.com/security-advisories). Do czasu aktualizacji firmware należy niezwłocznie zmienić domyślne dane uwierzytelniające na silne, unikalne hasła, ograniczyć dostęp sieciowy do urządzeń za pomocą firewall lub segmentacji sieci oraz wyłączyć dostęp zdalny, jeśli nie jest wymagany.
Azure-Access BLU-IC2 z firmware w wersji do 1.19.5 włącznie oraz Azure-Access BLU-IC4 z firmware w wersji do 1.19.5 włącznie.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAzure Access Blu Ic2
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic2 Firmware
OSAzure-Access< 1.20Azure Access Blu Ic4
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic4 Firmware
OSAzure-Access< 1.20
Powiązane podatności
Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4
Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4
Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4
Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4
Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4