Podatność w urządzeniach Azure-Access BLU-IC2 oraz BLU-IC4 umożliwia przeprowadzenie ataku typu denial of service (DoS) poprzez manipulację protokołem komunikacyjnym. Podatność otrzymała najwyższy możliwy wynik CVSS 10.0, co wskazuje na jej krytyczny charakter i możliwość zdalnego wykorzystania bez jakiegokolwiek uwierzytelnienia.
▸ Pokaż oryginał (EN)
Protocol manipulation might lead to denial of service.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5 .
Atakujący może zdalnie wysyłać spreparowane dane lub żądania protokołowe do podatnego urządzenia, co prowadzi do jego nieprawidłowego działania lub całkowitego przestoju. Atak nie wymaga żadnych uprawnień, interakcji użytkownika ani spełnienia dodatkowych warunków po stronie atakującego. Podatność sklasyfikowana jest jako CWE-248, co wskazuje na nieobsłużony wyjątek mogący być wywołany z zewnątrz.
Atakujący może doprowadzić do niedostępności urządzenia (denial of service), przerywając jego pracę i potencjalnie zakłócając fizyczną kontrolę dostępu lub inne funkcje krytyczne obsługiwane przez te urządzenia.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu zastosowania aktualizacji zaleca się ograniczenie dostępu sieciowego do urządzeń BLU-IC2 i BLU-IC4, np. poprzez segmentację sieci lub wdrożenie reguł firewall blokujących nieautoryzowany ruch.
Azure-Access BLU-IC2 we wszystkich wersjach do 1.19.5 włącznie oraz Azure-Access BLU-IC4 we wszystkich wersjach do 1.19.5 włącznie (firmware i oprogramowanie urządzeń).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAzure Access Blu Ic2
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic2 Firmware
OSAzure-Access< 1.20Azure Access Blu Ic4
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic4 Firmware
OSAzure-Access< 1.20
Powiązane podatności
Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4
Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4
Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4
Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4
Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4